Root-Passwort in Ubuntu 5.10 lesbar

Updates sind bereits verfügbar

Ein Fehler im Installer von Ubuntu 5.10 speichert das Passwort des ersten Nutzers im Klartext auf der Festplatte. Da dieser in Ubuntu über Root-Rechte verfügt, entsteht ein Sicherheitsproblem, denn die Dateirechte erlauben jedem anderen Nutzer den Zugriff, so dass dieser Root-Rechte erlangen kann. Aktualisierte Pakete für die Distribution stehen bereits zur Verfügung.

Artikel veröffentlicht am , Julius Stiebert

Bei der Ubuntu-Installation wird kein extra Root-Passwort gesetzt. Dafür erhält der erste eingerichtete Nutzer automatisch Root-Rechte über "sudo". Ein Fehler im Installationsprozess von Ubuntu 5.10 speichert das Passwort des Nutzers im Klartext in der Datei "/var/log/installer/cdebconf/questions.dat". Die Rechte dieser Datei erlauben dabei jedem Nutzer des Systems den lesenden Zugriff, so dass dieser beispielsweise mit "grep -r rootpassword /var" das Passwort auslesen kann.

Stellenmarkt
  1. Senior Product Manager Digital / IIoT (m/w/d)
    SCHENCK RoTec GmbH, Darmstadt
  2. Fachinformatiker (w/m/d) für den Support
    Ascom Deutschland GmbH, Frankfurt am Main (Home-Office möglich)
Detailsuche

Anschließend können damit über sudo Root-Rechte erlangt und somit jede beliebige Aktion auf dem betroffenen System ausgeführt werden. Die Ubuntu-Entwickler haben dazu ein Advisory veröffentlicht.

Die beiden betroffenen Pakete "base-config" und "passwd" stehen in aktualisierten Versionen zum Download und Update über apt-get zur Verfügung. Damit wird das Passwort aus /var/log/installer/cdebconf/questions.dat entfernt und die Datei ist nur noch von Root lesbar. Ein Update ist daher dringend anzuraten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Pupsgesicht 15. Mär 2006

Geh und spiel mit etwas gefährlichen! Ich habe die Schnauze voll von bescheurten 'witz...

nf1n1ty 14. Mär 2006

Und du hast einen "Rechtschreibskill" von 0

TomTom 14. Mär 2006

Und auf nem Linuxsys kann man sie gleich per LiveCD ändern. Sehe da kein Vorteil. btw...

IFlo 13. Mär 2006

Ubuntu 5.10 weißt einen mit einen Hinweis darauf hin wenn es neue Sicherheitsupdates...



Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. Cyberkriminalität: Jeder vierte Jugendliche ist ein Internettroll
    Cyberkriminalität
    Jeder vierte Jugendliche ist ein Internettroll

    Einer Umfrage zufolge ist bedenkliches bis illegales Verhalten von Jugendlichen im Internet zur Normalität geworden. In Deutschland ist der Anteil sehr hoch.

  2. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  3. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /