Anwender können unter Umständen sehr leicht an Root-Rechte gelangen, wenn die Linux-Distribution Ubuntu 5.10 (Breezy Badger) als Mehrbenutzersystem eingerichtet ist. Bei der Einrichtung des ersten Anwenders werde das Passwort im Klartext in den Logdateien der Installation /var/log/installer/cdebconf/questions.dat und /var/log/debian-installer/cdebconf/questions.dat abgelegt. Die Dateien sind "world-readable" und somit von jedermann lesbar. Zwar ist unter Ubuntu der Root-Account standardmäßig deaktiviert, das bei der Installation definierte erste Anwenderkonto aber in der Gruppe der Administratoren eingetragen. Mit diesem Anwenderkonto dürfen dann unter Angabe des eigenen Passworts Befehle mit Root-Rechten ausgeführt werden. Anwender können folgendermaßen feststellen, ob ihr Passwort im Klartext lesbar ist: "grep -r MeinEigenesPasswort /var".

Die Fehler sind in den Paketen "base-config" und "passwd" zu finden. Diese tauscht der Hersteller durch die Pakete 2.67ubuntu20 (base-config) und 1:4.0.3-37ubuntu8 (passwd) aus. Dieses Update macht Log-Dateien nur für Root lesbar und beseitigt die Klartext-Passwörter. Ubuntu 4.10, 5.04 und das kommende 6.04 (Dapper Drake) sollen nicht von dem Problem betroffen sein.

Anwender, die von Breezy Badger auf die Entwicklerversion von Dapper Drake aktualisiert haben, sollten das passwd-Paket ebenfalls auf Version 1:4.0.13-7ubuntu2 updaten.

(tk, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE