Kurt Kraut

batendo tambor com o Ubuntu

Falha crítica no Breezy: senha de root exposta. Veja como resolver.

NOTA: Após a publicação deste post a equipe do Ubuntu lançou correções em seus repositórios. Para atualizar seu sistema e ficar isento da falha, enquanto estiver conectado à internet, digite sudo aptitude update e em seguida sudo aptitude upgrade em seu terminal.

Foi lançado no Launchpad uma falha crítica do Ubuntu Breezy. A senha do primeiro usuário adicionado no sistema (processo feito na instalação) pode ser lida no arquivo questions.dat. Este arquivo contém informações gerais sobre o processo de instalação e erroneamente exibe também a senha deste usuário que tem privilégios de root.

A que tudo indica, apenas a versão Breezy quando instalada na modalidade padrão apresenta o problema. A variante Kubuntu também foi afetada. As versões prévias do Dapper que já foram lançadas não apresentam essa falha. Caso sua instalação do Ubuntu foi feita de forma diferente da padrão (na qual se pressioa ENTER na tela de boot para iniciar), seria interessante confirmar se sua instalação foi afetada. Para isso, abra o arquivos em questão (indicados mais adiante) com seu editor de textos de preferência e procure pelas linhas:

Name: passwd/user-password
Template: passwd/user-password
Value: [sua senha aqui]

Caso encontre sua senha no trecho acima ou tenha instalado o Ubuntu pelo método padrão, siga as instruções a seguir para o reparo da falha.

1- Vamos instalar o programa wipe. Ele serve para apagar arquivos evitando sua posterior recuperação. Digite no terminal:

sudo aptitude install wipe

2- Agora, utilizaremos o wipe para remover os arquivos que podem conter a senha. Digite no terminal:

wipe /var/log/installer/cdebconf/questions.dat

wipe /var/log/debian-installer/cdebconf/questions.dat

3- Em toda situação de exposição de senha, devemos trocar a senha por precaução. Digite no terminal:

passwd

Em seguida, será solicitada a sua senha atual. Digite-a e pressione ENTER. Não irão aparecer asteriscos no lugar da senha por medida de segurança. Logo em seguida, será solicitado duas vezes a nova senha. Escolha uma nova senha composta por letras e números.

A falha já está sob análise oficial dos mantenedores do Ubuntu para que erros de mesma ordem sejam evitados ao máximo no futuro. Porém, só o fato das versões prévias (alpha) da próxima versão que será lançada a partir de abril estarem isentas da falha demonstra que esse problema já está resolvido para as versões subseqüentes.

Além da solução da falha ser muito simples, ela se torna potencialmente perigosa apenas quando o computador é compartilhado ou acessado remotamente (ex.: SSH). O arquivo em questão e a senha exposta só são acessíveis por outros usuários cadastrados no sistema, portanto, somente outras pessoas com login e senha para acessar um computador utilizando Ubuntu poderiam ter acesso a essa senha.

A Cannonical, empresa que junto com a comunidade mantém o Ubuntu, está oferecendo emprego para um Engenheiro de Q&A, responsável por garantir a qualidade das versões do Ubuntu. Também discussões recentes e anteriores ao relato da falha têm ocorrido na comunidade em adiar o lançamento do Dapper para que mais testes e correções sejam feitos, deixando o Ubuntu mais polido, estável, rápido e confiável.

Todo esse esforço da Cannonical e da comunidade devem ser suficientes para que a credibilidade do Ubuntu não seja abalada e continue sendo a distribuição mais procurada para uso em desktops e para usuários que estão migrando para o mundo Linux.

Agradecimentos: ao MarioMeyer pela indicação do wipe.

March 12, 2006 - Posted by | Planetas

1 Comment »

  1. […] Sobre a falha critica publicada pelo KurtKraut, OgMaciel e no UbuntuForums, não utilizem apenas o “rm” para apagar o arquivo, ele ainda existirá no seu disco rigido, apenase será mais dificil achá-lo.. Neste caso utilizem o WIPE, este programa realmente *destruirá* os dados… sudo apt-get install wipewipe /var/log/installer/cdebconf/questions.dat […]

    Pingback by Ubuntu News » Falha crítica.. Não use apenas o rm.. | March 12, 2006 | Reply


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: