Ubuntu 5.10: Passwort als Klartext lesbar

Peinliche Panne beim Linux-Distributor Ubuntu: Das bei der Installation angelegte Passwort des privilegierten Standard-Benutzers wird als Klartext in einem Logfile des Installers auf der Festplatte ungeachtet und für alle lesbar zurückgelassen.

Aus Sicherheitsgründen verzichtet Ubuntu darauf, dass man sich als normaler Benutzer eines Systems als Super-User „root“ einloggen kann. Der User Root entspricht dem Administrator bei Windows-Systemen. Um aber dennoch administrative Aufgaben erledigen zu können, darf der bei der Installation angelegte Benutzer mittels des Befehls „sudo“ quasi unter dem Deckmantel von Root systemweite Befehle ausführen und unterliegt nicht den sonstigen Datei-Rechten und - Einschränkungen.

Aber gerade das Passwort dieses Benutzers wird zusammen mit dem Benutzernamen des privilegierten Users bei der Installation in einer systemweit von jedem lesbaren Datei „/var/log/installer/cdebconf/questions.dat“ abgelegt. Das Passwort wird auch nach der Installation nicht entfernt. Somit bestünde die Gefahr, dass einfache Benutzer auf Ubuntu-Systemen der Version 5.10 zu dem Benutzer werden können, der mit Hilfe des „sudo-Befehls“ Root-Rechte erlangen darf.

Ubuntu rät in seinem Advisory zu einem sofortigen System-Upgrade, um die betroffenen Pakete durch die gefixten Versionen 2.67ubuntu20 (base-config) und 1:4.0.3-37ubuntu8 (passwd) zu ersetzen.