Page 1 sur 3

Bonjour,
Sur le chan des utilisateurs de Archlinux, des dual-bootistes (modernes) ont fait passer les liens suivants :
http://www.osnews.com/story.php?news_id=13951

http://www.ubuntuforums.org/showthread.php?t=143334

Résumé : certains ont trouvé leur mot de passe utilisateur en clair dans le fichier post-installation

Code: Tout sélectionner: /var/log/installer/cdebconf/questions.dat

et ont donné l'alerte. Sous Dapper, le problème ne se poserait pas, sauf si vous avez installé une Breezy puis migré vers Dapper.
J'ai vérifié chez moi, pas de mot de passe en clair. Plusieurs sur le fil du forum anglais Ubuntu ont trouvé leur mot de passe en clair, d'autres non, ça ne semble pas toucher tout le monde.

Chez moi, rien de rien. Il faut chercher vers la fin de ce fichier les termes suivants :

Code: Tout sélectionner: Name: passwd/user-password-crypted Template: passwd/user-password-crypted Value:

Chez moi, le terme

Code: Tout sélectionner: 'Value:'

est suivi de

Code: Tout sélectionner: 'false'

, tandis que chez les gens qui ont le bug, il y a le mot de passe en toutes lettres.
Vérifiez, et changez vos mots de passe, en cas de bogue, surtout si vous ne l'avez jamais changé depuis l'installation. (J'ignore si on peut impunément détruire ce fichier, pour le système, mais quelqu'un va bien nous dire ça ?)

Athanor1 a écrit:
Code: Tout sélectionner
Name: passwd/user-password-crypted Template: passwd/user-password-crypted Value:

Euh, chez moi, il n'y a pas ce paramètre "crypted"...

En revanche, mon password, lui apparaît bien en toute lettres :shock:

, c'est grave docteur ?

Tolosano

Une seule solution... Reinstaller windows

Bon d'acord, je sors []

Chez moi, y'a pas la clé "value:" donc pas de probleme....ouf!!

Le bug est recensé, il devrait y avoir un patch rapidement

https://launchpad.net/distros/ubuntu/+bug/34606

Tolosano a écrit:En revanche, mon password, lui apparaît bien en toute lettres , c'est grave docteur ?

Ça rend ton système attaquable sans complications, selon ce que j'ai lu. (Moi j'y connais rien, je me contente de recouper ce qu'on m'explique). Changes de mot de passe.
Huit caractères mini, chiffres et lettres mélangés avec minuscules majuscules et carctères spéciaux...

Code: Tout sélectionner: m%$1@l!2Aa

par exemple, est un bon mot de passe.

Pour le retenir, tu l'écris sur un petit bout de papier, tu le répètes 10 fois en admirant les étoiles dans l'air frais,
(fait frais ce soir!) puis tu manges le bout de papier.

It SuX!!

Système facilement attaquable, oui si on a déjà un compte sur la machine pour pouvoir lire ce merveilleux fichier plein de surprise.

Ce qui s'en dit en résumé sur le lounchpad

this is quite serious since the default user is granted sudo rights, all i need to do is tu use this password to do a "sudo su-", then change the rootpassword to whatever i want and own the computer

even worse, this file might be left ***spam*** in the the filesystem on people that upgrades from breezy 5.10, so saying its fixed in dapper is not a solution
people must be warned and adviced to delete these files asap

Donc, lui dit qu'il faut supprimer ces fichiers, tandis qu'un autre affirme qu'il va y mettre une permission 700
(tous les droits pour le propriétaire qui à priori est root, rien pour les groupes et les autres, donc inaccessible même en lecture).

Et là, Colin Watson, développeur dit:

We don't need multiple Ubuntu tasks for this bug; the shadow one will do, since that's where the bulk of the bug fix resides, and where at least part of the bug was caused in the first place.

And yes, more confirmation of this bug isn't needed now that I (installer maintainer) have confirmed it myself and uploaded security patches, but thanks all the same. :-)

Veut-il dire qu'il a mis un patche pour la version suivante, ou qu'il a mis un patche qui sera dans une mise à jour dispo pour tous ?

Téthis a écrit:It SuX!!

Système facilement attaquable

Je viens de lire le contenu d'un sur une Breezy installée en mode personnalisé, pas de mot de passe user visible, et le contenu d'un sur une Edubuntu, et j'ai lu le mot de passe user (j'apprécie mc, btw). Donc, soit je vais mettre un 700 dessus, ou bien changer le mot de passe. Je ne vais tout de même pas supprimer ce fichier et son copain voisin template ? Ce serait un peu sauvage non ?

si on a déjà un compte sur la machine pour pouvoir lire ce merveilleux fichier plein de surprise.

Bien que n'y connaissant rien, je crois aux attaques par le net, et même sur une connexion en 56k. Par exemple, quand une connexion foire, à des temps de plus en plus rapprochés, jusqu'à décrocher tout aussitôt faite, sur plus de une journée et que un simple changement de mot de passe hors connexion règle d'un coup le problème, ça doit bien avoir une explication rationnelle. (C'est un exemple déjà vieux).

A priori, tu ne risques rien à supprimer les fichiers...

En les supprimant, tu supprimes le password du root, qui se met par défaut à "vide"... Et par conséquent plus besoin de mettre de password après un sudo...

Pour la technique du bout de papier et du mdp à 8 (ou plus) caractères spéciaux, si mon fichier est toujours lisible, je vois pas trop ce que ça change

Autant dire à Gedit de lire ce fichier en UTF-16

Tolosano

Page 1 sur 31, 2, 3 SuivantBreezy : alerte de sécurité sur mot de passe.

Qui est en ligne ?

Se connecter

Page 1 sur 31, 2, 3 SuivantBreezy : alerte de sécurité sur mot de passe.

Qui est en ligne ?