Probleme bei Root-Passwort in Ubuntu 6.06

21. August 2006, 11:48
11 Postings

Sicherheitslücke im Installer der Alternate- und Server-CD macht Anmeldung als Root für alle UserInnen möglich

Die EntwicklerInnen von Ubuntu haben einen Fehler in der aktuellen Version Ubuntu 6.06 aka "Dapper Drake" vermeldet. Ein Problem im Textinstaller führt dazu, dass das Root-Passwort unter Umständen leer bleibt.

Keine Sperre

Im Normalfall führt dies dazu, dass die Distribution das Passwort sperrt und so eine Anmeldung als Root nicht möglich ist. Durch den Fehler kann jedoch jede/r NutzerIn Root-Rechte erlangen und hat dadurch uneingeschränkten Zugriff auf das System. Laut letzten Meldungen tritt der Fehler bei allen aktuellen Versionen der Linux-Distributionen Ubuntu, Kubuntu, Edubuntu und Xubuntu auf. Allerdings soll nur die Installation im Textmodus betroffen sein.

Desktop-CD

Die Installation im Textmodus wird bei Alternate- sowie bei der Server-CD verwenden. Die Desktop-CD mit der grafischen Installationsroutine ist nicht betroffen. Der Fehler tritt auf, wenn nach der Meldung, dass die Installation komplett ist, zurück in das Hauptmenü gewechselt wird, anstatt die Installation abzuschließen. Wenn die Installation dann von diesem Punkt aus fortgesetzt wird, sperrt Ubuntu das Root-Passwort nicht, sondern lässt es leer. Wird die Installation direkt abgeschlossen, sperrt Ubuntu den Root-Zugang korrekt.

"passwd"

Das Sicherheitsproblem basiert auf einem Fehler im Paket "passwd". Die EntwicklerInnen haben bereits eine aktualisierte Version bereit gestellt. Beim Update des Paketes wird überprüft, ob das System betroffen ist oder nicht. Im Fall des Falles wird der Root-Account dann gesperrt.(red)

  • Bild nicht mehr verfügbar
Share if you care.