[Ubuntu] Faille extrêmement critique !
sebsauvage
Messages postés
32893
Date d'inscription
Statut
Modérateur
Dernière intervention
-
sebsauvage Messages postés 32893 Date d'inscription Statut Modérateur Dernière intervention -
sebsauvage Messages postés 32893 Date d'inscription Statut Modérateur Dernière intervention -
On tape sur Microsoft, mais il n'y a pas que Microsoft qui fait des choses stupides:
L'installeur d'Ubuntu 5.10 écrit toutes les étapes de l'installation dans un fichier de log. Le seul soucis, c'est que le mot de passe root y est également inscrit !
Et le fichier est lisible par tous les utilisateurs du système.
Donc si l'admin n'a pas changé son mot de passe depuis l'installation, n'importe quel utilisateur peut devenir root.
(J'ai vérifié, le mot de passe y est bien :-(
La faille a été corrigée en moins de 24 heures, mais ça fait quand même (grosse) tâche.
http://it.slashdot.org/article.pl?sid=06/03/13/0525254&from=rss
Si vous avez Ubuntu, le système vous proposera automatiquement de faire les mises à jour au prochain redémarrage.
L'installeur d'Ubuntu 5.10 écrit toutes les étapes de l'installation dans un fichier de log. Le seul soucis, c'est que le mot de passe root y est également inscrit !
Et le fichier est lisible par tous les utilisateurs du système.
Donc si l'admin n'a pas changé son mot de passe depuis l'installation, n'importe quel utilisateur peut devenir root.
(J'ai vérifié, le mot de passe y est bien :-(
La faille a été corrigée en moins de 24 heures, mais ça fait quand même (grosse) tâche.
http://it.slashdot.org/article.pl?sid=06/03/13/0525254&from=rss
Si vous avez Ubuntu, le système vous proposera automatiquement de faire les mises à jour au prochain redémarrage.
A voir également:
- [Ubuntu] Faille extrêmement critique !
- Pc extrêmement lent - Guide
- Mcafee alerte de virus critique - Accueil - Piratage
- Ubuntu 32 bits - Télécharger - Systèmes d'exploitation
- Ubuntu portable - Télécharger - Systèmes d'exploitation
- Linux mint ou ubuntu - Guide
8 réponses
Effectivement c'est un peu balo!
M'enfin la mise à jour etant déjà presente ca reduit les risques...
M'enfin la mise à jour etant déjà presente ca reduit les risques...
Le seul soucis, c'est que le mot de passe root y est également inscrit !
Ce n'est pas le mot de passe root (vu qu'il n'y a pas de root sous Ubuntu) à proprement parlé, mais le mot de passe du 1er utilisateur créé. Mais étant donné que le 1er utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine... c'est là que le bât blesse.
Et si mes souvenirs sont bons, il me semble avoir vu passer dans le forum Linux (teutates =>> tu y avais participé il me semble, non ?) une discussion à propos de cette politique (sudo) adoptée par Ubuntu, qui ne satisfaisait pas trop les puristes et il y avait de quoi ;-))
Ce n'est pas le mot de passe root (vu qu'il n'y a pas de root sous Ubuntu) à proprement parlé, mais le mot de passe du 1er utilisateur créé. Mais étant donné que le 1er utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine... c'est là que le bât blesse.
Et si mes souvenirs sont bons, il me semble avoir vu passer dans le forum Linux (teutates =>> tu y avais participé il me semble, non ?) une discussion à propos de cette politique (sudo) adoptée par Ubuntu, qui ne satisfaisait pas trop les puristes et il y avait de quoi ;-))
Exact, c'était bel et bien moi qui affirmait (et je persiste encore et toujours !) à voir dans cette politique une grosse erreur de sécurité. Je ne me prétends nullement puriste. Je sais : Jipicy que tu ne m'as pas traité de puriste ;-)
Mais avec une telle philisophie du compte root, Ubuntu (et Kubuntu) n'est valable que pour des particuliers, pas pour des entreprises. Un particulier est souvent moins exigeant en sécurité (par négligence, par ignorance ou par manque d'intérêt). Dans les entreprises, il faut compter avec les "monsieur-je-sais-tout", celui (ou celle) qui a lu un article et qui veut ensuite jouer les savants de l'informatique ..... pour finir parfois par planter (plus ou moins) la machine, voire le réseau.
Ou alors, il faut absolument créer un second compte utilisateurs chez Ubuntu afin que "monsieur-je-sais-tout" ne puisse faire mumuse. Et là encore, est-ce un reflexe des adminitrateurs ?
Mais avec une telle philisophie du compte root, Ubuntu (et Kubuntu) n'est valable que pour des particuliers, pas pour des entreprises. Un particulier est souvent moins exigeant en sécurité (par négligence, par ignorance ou par manque d'intérêt). Dans les entreprises, il faut compter avec les "monsieur-je-sais-tout", celui (ou celle) qui a lu un article et qui veut ensuite jouer les savants de l'informatique ..... pour finir parfois par planter (plus ou moins) la machine, voire le réseau.
Ou alors, il faut absolument créer un second compte utilisateurs chez Ubuntu afin que "monsieur-je-sais-tout" ne puisse faire mumuse. Et là encore, est-ce un reflexe des adminitrateurs ?
Mais avec une telle philisophie du compte root, Ubuntu (et Kubuntu) n'est valable que pour des particuliers, pas pour des entreprises
ça me semble valable, moi.
Je m'explique: le compte admin (équivalent du root) est tout simplement le premier compte créé.
En entreprise, de toute façon, quel que soit le système, les utilisateurs ne travaillent jamais avec le compte qui a servi à installer le système.
Donc ça me semble une politique viable en entreprise.
Ou alors, il faut absolument créer un second compte utilisateurs chez Ubuntu afin que "monsieur-je-sais-tout" ne puisse faire mumuse. Et là encore, est-ce un reflexe des adminitrateurs ?
J'espère que oui !
Sinon il ne devrait pas porter le titre d'admin !
ça me semble valable, moi.
Je m'explique: le compte admin (équivalent du root) est tout simplement le premier compte créé.
En entreprise, de toute façon, quel que soit le système, les utilisateurs ne travaillent jamais avec le compte qui a servi à installer le système.
Donc ça me semble une politique viable en entreprise.
Ou alors, il faut absolument créer un second compte utilisateurs chez Ubuntu afin que "monsieur-je-sais-tout" ne puisse faire mumuse. Et là encore, est-ce un reflexe des adminitrateurs ?
J'espère que oui !
Sinon il ne devrait pas porter le titre d'admin !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pour aller dans le sens de seb, l'avantage du "sudo" est qu'on puisse attribuer des taches, qui sont de base exclusives au root, à un utilisateur sans passer par le compte root: on a une meilleure maitrise des droits pour les utilisateurs.
Dans la pratique, c'est utile lorsqu'on a plusieurs comptes à gérer comme en entreprise par exemple.
Pour l'ordinateur d'un particulier, le "sudo", dans le cas d'ubuntu notemment, revient à un "su" classique: il n'y a pas de différence (à ceci pres qu'on peut se limiter dans son champ d'action avec le sudo...). Les risques de manip malheureuses sont donc les memes que l'on passe par un sudo ou par un su. Et d'ailleurs, ces risques sont meme plus grands pour un su dans la mesure ou là on a un acces sans restriction. Le sudo lui par contre impose des restrictions par rapport au su.
Mais dans le cas d'ubuntu ca revient au meme puisque que le sudo etend les possibilités à celles du root.
Dans la pratique, c'est utile lorsqu'on a plusieurs comptes à gérer comme en entreprise par exemple.
Pour l'ordinateur d'un particulier, le "sudo", dans le cas d'ubuntu notemment, revient à un "su" classique: il n'y a pas de différence (à ceci pres qu'on peut se limiter dans son champ d'action avec le sudo...). Les risques de manip malheureuses sont donc les memes que l'on passe par un sudo ou par un su. Et d'ailleurs, ces risques sont meme plus grands pour un su dans la mesure ou là on a un acces sans restriction. Le sudo lui par contre impose des restrictions par rapport au su.
Mais dans le cas d'ubuntu ca revient au meme puisque que le sudo etend les possibilités à celles du root.
Mais dans le cas d'ubuntu ca revient au meme puisque que le sudo etend les possibilités à celles du root.
Non non et non ! Amalgame ! Il s'agit uniquement du premier utilisateur créé ! C'est précisémment là où je ne comprends pas les critiques :
Si la machine est destinée à une utilisation d'entreprise, ou multi utilisateurs avec des restrictions particulières, ou même si c'est une machine de bureau mais que son utilisateur souhaite en accroître la sécurité pour des raisons X ou Y c'est SIMPLE : on utilise pas ce premier utilisateur pour autre chose que pour de l'administration, et c'est tout !
Quant à l'utilisateur lambda, c'est à dire l'essentiel des clients d'une distribution comme ubuntu qui se veut user-friendly, ben c'est tout bénef ! On simplifie l'utilisation mono utilisateur de la machine en passant les commandes d'administration via sudo, et le tour est joué ! C'est plus simple, c'est pas forcément moins sécurisé (car cet utilisateur là, en soit, n'a aucun droit particulier) et ça évite justement que les débutants du pingouin se mettent à tout faire en root !
En conclusion, je trouve justement que c'est une idée très intéressante : éviter la bêtise du "tout root" pour ceux qui découvrent linux, tout en proposant le même niveau de sécurité que n'importe quelle autre distrib en proposant simplement à l'utilisateur un tant soit peu au courant de n'utiliser ce premier compte que pour l'administration !
Mais pourquoi tant de haine ?
Non non et non ! Amalgame ! Il s'agit uniquement du premier utilisateur créé ! C'est précisémment là où je ne comprends pas les critiques :
Si la machine est destinée à une utilisation d'entreprise, ou multi utilisateurs avec des restrictions particulières, ou même si c'est une machine de bureau mais que son utilisateur souhaite en accroître la sécurité pour des raisons X ou Y c'est SIMPLE : on utilise pas ce premier utilisateur pour autre chose que pour de l'administration, et c'est tout !
Quant à l'utilisateur lambda, c'est à dire l'essentiel des clients d'une distribution comme ubuntu qui se veut user-friendly, ben c'est tout bénef ! On simplifie l'utilisation mono utilisateur de la machine en passant les commandes d'administration via sudo, et le tour est joué ! C'est plus simple, c'est pas forcément moins sécurisé (car cet utilisateur là, en soit, n'a aucun droit particulier) et ça évite justement que les débutants du pingouin se mettent à tout faire en root !
En conclusion, je trouve justement que c'est une idée très intéressante : éviter la bêtise du "tout root" pour ceux qui découvrent linux, tout en proposant le même niveau de sécurité que n'importe quelle autre distrib en proposant simplement à l'utilisateur un tant soit peu au courant de n'utiliser ce premier compte que pour l'administration !
Mais pourquoi tant de haine ?
