Page 2 sur 3

Athanor1 a écrit:=j'apprécie mc, btw

it RoX

.

Athanor1 a écrit:Donc, soit je vais mettre un 700 dessus, ou bien changer le mot de passe. Je ne vais tout de même pas supprimer ce fichier et son copain voisin template ? Ce serait un peu sauvage non ?

Mais tu es une sauvage, tout comme moi : on se nourrit de racines et de feuilles.

Il me semble peut judicieux de garder un restant de l'installation surout si celui ci possède des informations dangereuses. Le template de l'installateur, il sert à quoi maintenant ? Nada.

Tolosano a écrit:En les supprimant, tu supprimes le password du root, qui se met par défaut à "vide"... Et par conséquent plus besoin de mettre de password après un sudo...

Pour la technique du bout de papier et du mdp à 8 (ou plus) caractères spéciaux, si mon fichier est toujours lisible, je vois pas trop ce que ça change

Non Tolosano, tu n'as pas compris la subtilité. Comme il n'y a par défaut pas de compte root lors de l'installation, il ne s'agit pas ici du vrai mot de passe root, mais du mot de passe user qui en tient lieu, en sudoisant le user.

Donc, le truc est que quelqu'un qui prend le contrôle de ta bécane et cherche le mot de passe pour obtenir les droits root a une seule chose à faire, accéder en *lecture* à ce fichier. De là, rien de plus simple que de créer un compte root et faire tout ce qu'on veut, y compris un 'rm -Rf' par exemple, ou installer un backdoor, et quoi que ce soit de bien déplaisant, surtout quand on n'y connait rien et qu'on est bête devant le problème (comme moi, par exemple).

Si ton fichier est toujours lisible on s'en tape, parce que c'est le mot de passe que tu as inscris *lors de l'installation* qui y figure, et non le nouveau mot de passe bien conçu que tu vas (à nouveau) concocter.

(Pas de mots pouvant être trouvé par force brute en utilisant un dictionnaire, ai-je aussi entendu dire).

Téthis : sauvage !

Bonne nuit tout le monde.

Le patch est déjà en ligne... Il enlève le mot de passe du dit fichier et le rend lisible seulement par root. Le problème est donc réglé...

fab25 a écrit:Le patch est déjà en ligne...

Hello,
Il me semblait l'avoir mentionné plus haut ?

athanor a écrit:Et là, Colin Watson, développeur dit:
Citation:
Colin Watson a écrit:We don't need multiple Ubuntu tasks for this bug; the shadow one will do, since that's where the bulk of the bug fix resides, and where at least part of the bug was caused in the first place.

And yes, more confirmation of this bug isn't needed now that I (installer maintainer) have confirmed it myself and uploaded security patches, but thanks all the same. :-)

fab25 a écrit:Il enlève le mot de passe du dit fichier et le rend lisible seulement par root. Le problème est donc réglé...

Le problème est réglé pour ce qui concerne leur part du job.
Mais pour ceux qui ont le mot de passe visble dans ce fichier (ce qui il semble selon ce que j'ai lu dans le forum Ubuntu en anglais concernerait plutôt les installations en mode automatique) il reste une question, que j'ai posée dans le même post que ci-dessus:

athanor a écrit:Veut-il dire qu'il a mis un patche pour la version suivante, ou qu'il a mis un patche qui sera dans une mise à jour dispo pour tous ?

Ce n'est pas crucial pour ceux qui comme nous ont été mis au courant, puisqu'on a le choix de supprimer, modifier, ou modifier les permissions. Par contre ça peut être important pour ceux qui mettent à jour plus ou moins régulièrement, mais ne sont pas informés.

fab25 a écrit:Le patch est déjà en ligne... Il enlève le mot de passe du dit fichier et le rend lisible seulement par root. Le problème est donc réglé...

Bonjour les gens

A quel endroit ce patch ?

Merci Athanor1, il est vrai que je n'avais pas bien compris le rôle de ce fichier par rapport à ce tout premier mot de passe..

Bon, ben la mise à jour d'aujourd'hui corrige le bug, en tout cas chez moi !

Ça fait vraiment plaisir de voir autant de réactivité

Tolosano

Tolosano a écrit:Ça fait vraiment plaisir de voir autant de réactivité

Vu la taille du bug, il semblait important de réagir avant qu'il dévore la moitié du monde.

Téthis a écrit:Vu la taille du bug, il semblait important de réagir avant qu'il dévore la moitié du monde.

Surtout que ce n'est pas loin, il n'y a que deux pas de souris à parcourir

Tolosano, sais-tu (curiosité) quel était le package qui contenait le patche ?

Un package qui porte le nom de passwd (ou approchant)

Désolé, j'ai pas bien fait attention, pour une fois il y avait pas mal de package à mettre à jour, et à part les Kernel, j'ai pas relevé tous les noms de packages...

Mais si Soupaloignon dit password ou quelque chose dans le style, ça doit être ça

Tolosano

Page 2 sur 3Précédent 1, 2, 3 SuivantBreezy : alerte de sécurité sur mot de passe.

Qui est en ligne ?

Se connecter

Page 2 sur 3Précédent 1, 2, 3 SuivantBreezy : alerte de sécurité sur mot de passe.

Qui est en ligne ?