Grave problema de seguridad en Ubuntu Breezy y cómo resolverlo

Ubuntu LogoHe notado que algunos de mis visitantes son usuarios de Ubuntu Breezy. Naturalmente eso se debe, sobre todo, a que tengo notas sobre Ubuntu, ya que soy ubuntero. Por ello creo importante difundir esta noticia, que leí ayer y cuyos consejos seguí ayer mismo.
Si el amigo lector es usuario de Ubuntu, le recomiendo actuar de inmediato, más aún cuando las medidas para solucionar el asunto son fácilmente aplicables.

Se descubrió un agujero de seguridad, de fundamental importancia en Ubuntu Breezy. Sencillamente, cualquier usuario, desde una cuenta sin privilegios de administrador, puede capturar las contraseñas originales dadas por el que instaló el sistema, al cual, se le asigna por defecto el rol de administrador. Las contraseñas son alcanzables, en texto plano escribiendo un simple comando en consola:

grep -r rootpassword /var

después de lo cual se muestran los resultados de la búsqueda y que puede ser probablemente éste:

/var/log/installer/cdebconf/questions.dat:Value: mypasswd
/var/log/debian-installer/cdebconf/questions.dat:Value: mypasswd

donde la palabra “mypasswd” es sustituida por la contraseña de root (administrador) en texto claro y legible, ¡sin cifrar!.
Obviamente se trata de un error gravísimo que afortunadamente, como usualmente ocurre con el software libre, una vez descubierto fue resuelto de inmediato.
Para corregir la falla debe hacerse lo siguiente: actualizar los paquetes base-config y passwd a las nuevas versiones base-config versión 2.67ubuntu20 y passwd versión 1:4.0.3-37ubuntu8. Para hacerlo, simplemente y como root debes escribir desde la consola el siguiente comando:

apt-get install base-config
apt-get install passwd

También se puede utilizar Synaptic, en ambiente gráfico, (siempre con privilegios de administrador) y actualizar los paquetes afectados.
O emplear una actualización estándard:

apt-get dist-upgrade

Una vez instalados el sistema está protegido de esta falla.

Enlaces:

Aviso del fallo en los foros de Ubuntu, aquí.

Notificación oficial, aquí.

Escribir un comentario

Creative Commons License