13.03.06 16:10 Uhr
 645
 

Sicherheitsproblem: Ubuntu 5.10 speichert Passwort lesbar für jeden

Bei der Installation der aktuellen, stabilen Version von Ubuntu-Linux wird das Passwort des Benutzers mit Privilegien als Klartext in einer Logdatei abgelegt, und diese ist für jeden lesbar.

Ubuntu gibt einem Benutzer keine Admin-Rechte, sondern ermöglicht es, diese Rechte für einzelne Aufgaben durch Nennung eines Passwortes zu bekommen. Aber genau dieses Passwort wird in der Log-Datei sichtbar.

In /var/log/installer/cdebconf/questions.dat wird dieses Passwort abgelegt, Ubuntu empfiehlt, das System sofort auf den neusten Stand zu bringen.


Videoplayer auf dieser Seite ausblenden
WebReporter: killozap
Rubrik:   High Tech
Schlagworte: Sicherheit, Passwort, Ubuntu
Quelle: www.computerbase.de

Jetzt Deinen
Kommentar abgeben!

DAS KÖNNTE DICH AUCH INTERESSIEREN

"Path Out": Syrer entwickelt Computerspiel über seine Flucht
Kann die Menschheit 2140 in Rente gehen?
Antennenrevolution: Neuer Antennentyp ist 60 mal kleiner wie bisherige Antennen

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

9 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
13.03.2006 16:05 Uhr von killozap
 
+0 | -0
 
ANZEIGEN
Reicht es nicht, die Datei zu editieren oder gar zu löschen? Wird die Datei durch das Update angepasst oder entfernt? Ich werde es heute Abend mal ausprobieren.
Kommentar ansehen
13.03.2006 16:31 Uhr von sECuRE-
 
+0 | -0
 
ANZEIGEN
Natürlich reicht das. Lösungsmöglichkeiten:
1.) Datei löschen
2.) Datei editieren (= Passwörter entfernen)
3.) Passwort ändern (Änderungen werden nicht in die Datei geloggt)
4.) chown root:root + chmod 700
Kommentar ansehen
13.03.2006 18:29 Uhr von killozap
 
+0 | -0
 
ANZEIGEN
Ich hab mir gestern/vorgestern: wohl schon das Update gezogen, ich kann das Passwort nicht entdecken...
Kommentar ansehen
14.03.2006 07:54 Uhr von Joeiiii
 
+0 | -0
 
ANZEIGEN
*megagrins*: Sonst tauchen hier ja immer die Meldungen auf daß Windows so unsicher sein soll, aber was hier mit Linux läuft ist ja geradezu lächerlich. Für jeden lesbar!!!!!!! *ggggggg* Na wenn das keine Sicherheitslücke darstellt dann weiß ich es auch nicht. Noch witziger wäre es gewesen wenn das Passwort als Desktophintergrund gestanden wäre.

Nur komisch daß so etwas niemandem aufgefallen ist. Sonst versucht man ja auch immer so megaperfekt zu sein. Naja, auch bei Linux gilt: Fehler machen ist menschlich. Ubuntu heißt ja unter anderem auch Gemeinsinn und Menschlichkeit

Hat schon mal jemand versucht das Passwort von WinXP auszulesen? Das ist Schwerstarbeit, und nur mit Brachialgewalt (rechenmäßig) zu schaffen.

Ubuntu.....du hast es geschafft daß ich mit einem Lächeln in diesen Tag starten kann.
Kommentar ansehen
14.03.2006 08:18 Uhr von tutnix
 
+0 | -0
 
ANZEIGEN
joei: wozu auslesen unter windows? kannste doch ohne probleme ändern ohne das alte pw zu kennen. einfach mit erd-commander die kiste booten, die partiton auswählen wo windows installiert ist. einmal ein nettes tool starten und das admin pw ändern. ein aufwand von 3 minuten. ist also nicht wirklich sicherer.
ausserdem machst du den fehler ubuntu mit linux gleichzusetzen. dieser fehler trifft nur bei ubuntu auf, nicht bei anderen distributionen.
Kommentar ansehen
14.03.2006 08:37 Uhr von Joeiiii
 
+0 | -0
 
ANZEIGEN
@ tutnix: Ich weiß daß man das Passwort ganz easy ändern kann....wenn man ein bißchen Ahnung hat. Ohne anzugeben schaffe ich das mit einem Programm namens "Cia Commander" innerhalb von einer Minute (Zeit läuft sobald ich die Powertaste drücke).

Aber ich schrieb ja:
<<Hat schon mal jemand versucht das Passwort von WinXP auszulesen? Das ist Schwerstarbeit, und nur mit Brachialgewalt (rechenmäßig) zu schaffen.<<

Abgesehen davon sind die meisten dieser Programme kostenpflichtig. ERD-Commander wird dir ja auch nicht gerade geschenkt (außer in Tauschbörsen) *ggg*

Und bevor mich jetzt jemand verdächtigen soll: Ich hab das Tool von meinen Bruder, der ist Netzwerktechniker. Die versuchen testhalber öfters mal ihr Netz zu knacken, oder testen eben mit solchen Programmen die Sicherheit der PCs.

Mal ne andere Frage: An "Syskey" kommt man aber mit ERD-Commander auch nicht vorbei, oder? Wenn man unter Start, ausführen syskey eingibt und auf OK klickt, dann hat man die Möglichkeit den Systemstart mit einem zusätzlichen Passwort zu versehen. ERD-Commander kann das System wohl trotzdem booten, aber Syskey löschen damit man XP wieder normal starten kann geht glaube ich auch nicht.

PS: Win98 war witzig. Einfach die pwl-Datei löschen und das Passwort war weg *gg*
Kommentar ansehen
14.03.2006 17:08 Uhr von killozap
 
+0 | -0
 
ANZEIGEN
Das sollte hier eigentlich keine Schlacht: zwischen Windows & Linux-Usern werden :)
Mit Systemmitteln kann man viel machen, egal bei welchem Betriebsystem. Und auslesbar war das Passwort bei Ubuntu nur für Interessierte, denn man musste in der Datei da recht lange nach suchen.
Aber wie schon gesagt, alle Programmierer neigen dazu, Fehler zu machen, es ist egal, auf welchem oder welches Betriebssystem programmiert wird.
Kommentar ansehen
14.03.2006 20:34 Uhr von Joeiiii
 
+0 | -0
 
ANZEIGEN
Killozap der Schlichter zwischen den Welten? *g*

Ok, du hast ja Recht. Es soll keine Schlacht werden zwischen Windows und Linux.

Aber: Wenn so etwas bei Windows gefunden worden wäre dann hätten hier wohl die Meldung eingeschlagen wie eine Bombe. Nun ja, das XP-Passwort ist zumindest so lange sicher bis man keine Programme hat die es umgehen. Aber auslesen ist extrem schwierig. Hier haben sie ordentlich gearbeitet die Burschen und Mädls von Microsoft.

Ein unknackbares und unumgehbares Programm bzw. BS wird es wohl nie geben. Irgendwie ist es bis jetzt noch immer gelungen, und so wird es auch weitergehen. Dieses "unknackbar" ist (leider) immer nur von kurzer Dauer.
Kommentar ansehen
14.03.2006 21:23 Uhr von killozap
 
+0 | -0
 
ANZEIGEN
@Joeiiii: Mir gehen manche Statements zu MS auch auf den Zwirn, man muss eben klar sagen wo MS Scheisse gebaut hat und was normaler Altag ist.
Scheisse war Internet-Explorer mit ActiveX, Active Scripting etc.. Aber selbst Java und Javascript galten Jahrelang als völlig sicher, mittlerweise gibt es auch da Angriffspunkte.
Normal sind BufferOver (oder Underrun?)-Fehler, mittlerweile gehört es fast zum guten Ton, dass ein (Online)-Programm mindestens einen solchen Fehler hat.
Der fehler mit dem geloggten Passwort war ein Fauxpas, der nicht passieren dürfte, eventuell steht ja bei Windows in einer Log-Datei die Kreditkartennummer von Bill Gates ...

Refresh |<-- <-   1-9/9   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2017 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

"Path Out": Syrer entwickelt Computerspiel über seine Flucht
Tunesien: Präsident will Frauenrechte stärken und Scharia schwächen
Donald Trump besteht auf Mauer zu Mexiko: Sonst streicht er US-Regierung Geld


...oder unseren und keine aktuellen News mehr verpassen?