Un error catálogado como altamente crítico ha sido descubierto en la versión 5.10 «Breezy Badge» de Ubuntu, el cual permite a cualquier usuario sin privilegios de root ver la contraseña de administrador, misma que se crea durante la instalación del sistema.
El fallo de seguridad se puso en evidencia en los foros de Ubuntu, el día de ayer.
El problema sucede cuando el instalador del sistema de Ubuntu falla al limpiar los datos que quedan grabados en los logs producidos durante este proceso, incluyendo la primera cuenta con la contraseña que se crea con privilegios de sudo o administrador.
Dichos logs tiene privilegio de lectura para todos los usuarios, lo que permite a cualquier en el sistema ver de manera clara la contraseña del administrador.
Las rutas de los logs en donde quedan expuestos los datos son las siguientes:
/var/log/installer/cdebconf/questions.dat
/var/log/debian-installer/cdebconf/questions.dat
Los paquetes afectados y productores del fallo son base-config y passwd, en Ubuntu 5.10, solamente. Para corregir el fallo ya se han liberado nuevas versiones de estos paquetes y se recomienda su pronta actualización.
A pesar de que la respuesta por parte de la distribución ante este problema ha sido relativamente rápida al descubrirse el fallo, el sistema ha estado expuesto y vulnerable desde el día 13 de octubre cuando se libero la versión 5.10 de Ubuntu.
Enlaces de interés:
www.ubuntu.com
