Hello ! Un bug de securité plutot flippant a été decouvert sur Breezy :
https://launchpad.net/distros/ubuntu/+bug/34606 Apres l'install un fichier accessible en lecture pour tous les utilisateurs, reste sur le systeme avec, en clair, le mot de passe de l'utilisateur principal (celui qui a les droits sudo)... ;-/ Un correctif a ete publié, pensez donc a mettre a jour votre systeme * , via Synaptic : 'Recharger', 'Tout mettre a jour'. Dans un teminal : sudo apt-get update && sudo apt-get upgrade Le developpeur en charge de l'installeur explique l'origine du bug, qui n'apparait que sous Breezy (donc pas sous Dapper): http://www.ubuntuforums.org/showthread.php?p=818037#post818037 Traduction partielle... << L'installeur d'Ubuntu (comme celui de Debian) utilise un outil appellé Debconf qui gere toutes les intéractions avec l'utilisateur, ce programme utilise une base de donnee pour enregistrer les réponses, en particulier les mots de passe. Evidemment, quand nous demandons un mot de passe avec Debconf, nous faisons trés attention a nettoyer la base de donne : nous le supprimons explicitement apres la phase de saisie du mot de passe, et nous le stockons dnas une base a part qui n'est pas utilisée par debconf. Ca a bien marché pendant un certain temps, ie jusqu'a Hoary. Malheureusement, la facon dont nous avons arrangé les questions sur le mot de passe dans le debconf de Breezy nous a obligé a utiliser deux bases plutot qu'une... et le mot de passe se trouvait supprimé que sur une des deux bases. Et la raison pour laquelle nous ne nous sommes pas apercu de ce bug quand il a ete corrige dans Dapper, et bien... la resolution dans Dapper a ete due a une reorganisation massive de l'installeur, et en fait ca a ete fixé 'par accident'. Enfin, j'ai corrige ce bug dans le minimum de temps humainement possible pour moi, et je l'ai pris extremement serieusement. Peut etre pour certains d'entre vous vous c'est pas assez ou trop tard, nous ferons tout ce que nous pourrons dans le futur pour installer de meilleures defenses contre ce genre d'evenements. >> Colin Watson Bref ca a été corrigé. Et plutot rapidement, le contraire eut été étonnant. Vous n'etes pas touche par ce bug si : - Vous avez modifie le mot de passe du premier utilisateur depuis l'installation OU - Vous etes le seul utilisateur de la machine Have Fun ! Ju. * Il faut que la ligne : deb http://security.ubuntu.com/ubuntu breezy-security main restricted apparaisse dans le fichier /etc/apt/sources.list , si non ajoutez la : http://doc.ubuntu-fr.org/applications/synaptic#comment_ajouter_ou_retirer_des_depots
-- ubuntu-fr mailing list [email protected] https://lists.ubuntu.com/mailman/listinfo/ubuntu-fr
