Categories: SeguridadVirus

Grave problema de seguridad en Ubuntu 5.10

Tras varias horas en las que no estaba claro el alcance del problema, incluso si existía o no dicho problema, el equipo de Ubuntu Linux ha emitido un aviso de seguridad en el que se detallan las condiciones en la que es posible la revelación de la clave de root en máquinas que corran Ubuntu Linux 5.10. El problema puede ser considerado de extrema gravedad.

Ubuntu es una distribución Linux basada en Debian, y patrocinada por Canonical Ltda, iniciativa empresarial de Mark Shuttleworth, empresario y fundador de la gestora de certificados Thawte. La distribución nació originalmente para ser usada como escritorio, si bien es perfectamente apta, con las debidas precauciones, para vertebrar servidores.

La versión 5.10 de Ubuntu “The Breezy Badger” es susceptible de revelar la clave de root, almacenada en texto plano. Con la simple ejecución en consola de “grep -r rootpassword /var”, aparecen múltiples localizaciones donde es posible leer, en texto sin cifrar, el log de la instalación de Ubuntu, donde aparece la clave escogida para el root, además de otras cuestiones que son lanzadas al usuario a la hora de instalar el producto. Los puntos donde aparece esta información son, en esencia:

/var/log/installer/cdebconf/questions.dat:Value: mypasswd

/var/log/debian-installer/cdebconf/questions.dat:Value: mypasswd

Los paquetes afectados son base-config y passwd. Ubuntu se ha apresurado a emitir el aviso y proporcionar parches para ambos, 2.67ubuntu20 (base-config) y 1:4.0.3-37ubuntu8 (passwd). Los paquetes actualizados no sólo eliminan las claves en los logs, sino que convierten los registros de instalación en únicamente legibles por el root de la máquina. El problema permite que cualquier usuario local pueda obtener la clave que se eligió en la instalación de la distribución, que muchas veces no se cambia y que por tanto, facultaría a un atacante a tomar control completo de los servicios que pendan de la distribución.

El fallo es un error de diseño monumental, y tal y como se verifica en este caso, los problemas de seguridad son a veces despistes incomprensibles de los desarrolladores y probadores. Afortunadamente para los usuarios del producto, la reacción ha sido muy rápida y los parches se han puesto a disposición del público con gran celeridad. Tirón de orejas por el despiste, y aplausos para el modelo de respuesta ante incidentes desplegado.

El problema no afecta a otras versiones de Ubuntu como 4.10 y 5.04. No obstante, los usuarios que hayan actualizado a la versión en desarrollo, 6.04 “The Dapper Drake” desde una máquina 5.10 “The Breezy Badger” deben asegurar la instalación de los parches. Especial cuidado deben tener los usuarios que utilicen Ubuntu para servir, por motivos obvios.

Para actualizar, debe bastar, en la mayoría de los casos, una actualización vía “apt-get dist-upgrade”. Otros métodos, como los frontales de gestión de paquetes tipo “synaptic”, son válidos igualmente.

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago