Root-Passwort in Ubuntu 6.06 bleibt leer

Sicherheitslücke im Installer der Alternate- und Server-CD. Durch einen Fehler im Textinstaller von Ubuntu 6.06 LTS bleibt das Root-Passwort unter Umständen leer. Normalerweise sperrt die Distribution das Passwort, so dass eine Anmeldung als Root nicht möglich ist. Durch den Fehler kann jedoch jeder Nutzer Root-Rechte erlangen und hat somit uneingeschränkten Zugriff auf das System.

13. Juli 2006 um 11:28 Uhr / Julius Stiebert

75 Kommentare News folgen (öffnet im neuen Fenster)

Der Fehler(öffnet im neuen Fenster) tritt bei allen aktuellen Versionen der Linux-Distributionen Ubuntu, Kubuntu, Edubuntu und Xubuntu auf, betrifft allerdings nur die Installation im Textmodus, wie sie die Alternate- sowie die Server-CD verwenden. Die Desktop-CD mit ihrer grafischen Installationsroutine ist demnach nicht betroffen. Das Problem tritt auf, wenn nach der Meldung, dass die Installation komplett ist, zurück in das Hauptmenü gewechselt wird, anstatt die Installation abzuschließen. Wird sie von hier aus fortgesetzt, so sperrt Ubuntu das Root-Passwort nicht, sondern lässt es leer. Wird die Installation direkt abgeschlossen, sperrt Ubuntu den Root-Zugang korrekt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Administrator*in für den IT-Service Storage IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Mitarbeiter*in eAkte/DMS-Umsetzung (m/w/d) Hochschule Hamm-Lippstadt, Lippstadt (öffnet im neuen Fenster)

Backend-Developer (m/w/d) Cloud & Fullstack HOCHTIEF PPP Solutions GmbH, Essen,Würzburg (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) Götting KG, Lehrte (öffnet im neuen Fenster)

Master-Student Anwendungsmanagement Laborinformationssystem (LIS) (m/w/d) MDI Limbach Berlin GmbH, Berlin (öffnet im neuen Fenster)

Software-Entwickler C++ (m/w/d) Vectron Systems AG, Münster (öffnet im neuen Fenster)

Software-Architekt (m/w/d) für cloudbasierte Lösungen im Bereich Water Line Integrity Solutions Rosenxt Group, (öffnet im neuen Fenster)

Systemingenieur/Systemarchitekt Product Development (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Normalerweise ist eine Anmeldung als Root bei Ubuntu nicht möglich. Der Standardnutzer ist allerdings berechtigt, Root-Rechte über "sudo" zu erlangen. Durch den Fehler kann sich allerdings jeder ohne Eingabe eines Passwortes direkt als Root anmelden und erhält damit uneingeschränkten Zugriff auf das gesamte System, ein normales Benutzerkonto ist dafür nicht notwendig. Auch die Vorgängerversion Ubuntu 5.10 hatte bereits Probleme mit dem Root-Passwort .

Verantwortlich für die Sicherheitslücke ist ein Fehler im Paket "passwd", das bereits in einer aktualisierten Version zur Verfügung steht. Beim Update des Paketes überprüft es, ob das System betroffen ist und sperrt den Root-Account gegebenenfalls. Das neue passwd-Paket kann ab sofort über die Paketverwaltung von Ubuntu eingespielt werden.

Zur Startseite 75 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Ubuntu für UltraSPARC T1 ist fertig

Architektur wird nicht offiziell unterstützt. Die Linux-Distribution Ubuntu 6.06 LTS ist nun auch in einer Version für SPARC-Prozessoren verfügbar. Damit läuft Ubuntu auch auf Suns neuen Prozessoren der Serie UltraSPARC T1, allerdings ist diese Unterstützung nicht offiziell.

Dapper Drake: Ubuntu 6.06 ist da

Längere Unterstützung auf dem Desktop und dem Server. Die auf Debian basierende Linux-Distribution Ubuntu ist in Version 6.06 erschienen. Die KDE-Variante Kubuntu wurde ebenfalls in neuer Version veröffentlicht und auch die für den Einsatz in Schulen optimierte Edubuntu-Variante wurde erneuert. Version 6.06 ist die erste Ubuntu-Ausgabe, die den Zusatz LTS für "Long-Term-Support" trägt und damit drei Jahre auf dem Desktop und fünf Jahre auf dem Server unterstützt wird.

Root-Passwort in Ubuntu 5.10 lesbar

Updates sind bereits verfügbar. Ein Fehler im Installer von Ubuntu 5.10 speichert das Passwort des ersten Nutzers im Klartext auf der Festplatte. Da dieser in Ubuntu über Root-Rechte verfügt, entsteht ein Sicherheitsproblem, denn die Dateirechte erlauben jedem anderen Nutzer den Zugriff, so dass dieser Root-Rechte erlangen kann. Aktualisierte Pakete für die Distribution stehen bereits zur Verfügung.

Relevante Themen