News Ubuntu 5.10: Passwort als Klartext lesbar

[MountWalker]

Nein, das ist keinen Deut sicherer, solange Root nicht freigeschaltet worden ist, da, zumindest solange Root nicht freigeschaltet worden ist, jeder Sudoer das Recht hat das Rootpasswort anzulegen. Ich brauche nur das Userpasswort des ersten Users erraten und habe auf fast jedem Ubuntu/Kubuntu und MacOS X sofort Root-Zugriff, weil ich ja nur den Befehl sudo passwd root ausführen muss.

Der vorteil besteht einzig darin, dass der User nicht ständig ohne Passworteingabe Zugriffsmöglichkeit auf Admin-Aufgaben erlangen kann, weil die Sudo-Aufgaben auch vom Sudoer seine Passworteingabe verlangen, wohingegen jemand der als Root auf einem Desktop angemeldet ist alles ohne weitere Passworteingabe darf. Es ist also auf den DAU gezielt eingerichtet, der nach der Installation erstmal loslegt und sich auf XDM/GDM/KDM als Root anmelden und mit Rootrechten einen Gnome- oder KLDE-Desktop starten will. Es ist ein Schritt weiter als die Krootwarnung, es schränkt ihn in seinen bewussten Handlungsmöglichekiten ein.

Für Leute die sich auf XDM/GDM/KDM sowieso nie als Root anmelden würden entsteht kein Mehr an Sicherheit.

 

[Schorsch]

Immerhin ist es nicht Microsoft passiert ;-)

Stimmt, bei einem MS-System hat nach der Default-Installation sowieso gleich jeder die vollen Administratorrechte und man muss nicht erst in einer Datei nach dem Passwort suchen um diese zu erlangen.

@Topic: Ist natürlich eine ziemliche Gefahr für öffentliche Rechner, wie z.B. in Bibliotheken oder Internetcafes. Aber der normale Home-User ist davon ja eigentlich nicht betroffen. Es kommt ja eh keiner, dem ich nicht traue, an meinen Rechner um irgendwelche Log-Dateien zu durchforsten.

 

[MountWalker]

Das Problem ist doch, dass nun eine JavaScript-Lücke ausreichen könnte um Bereiche, auf die der User Zugriff hat, auslesen zu können. Deswegen hat man ja das Passwort und überhaupt die ganze Rechtetrennung, weil andere Software, und JavaScripting-Software ist da keine unbedeutende Gefahrenquelle, Fehler haben kann, die kompletten Zugriff im Rechtebereich des angemeldeten Users über das Netzwerk, über das Internet ermöglichen kann.

 

[Schorsch]

Naja, unter Windows werden beim normalen Home-User sämtliche Javascripte gleich als Root ausgeführt, während unter Ubuntu mit diesem Bug eine Javascript-Lücke von nöten wäre, die dem Angreifer Zugriff auf das Dateisystem gibt, um schliesslich Zugriff auf die Log-Datei zu bekommen, die der Angreifer dann natürlich auch noch kennen muss um das Root-Passwort zu erspähen. Und das alles muss noch passieren bevor jemand den Bugfix eingepielt hat. Ziemlich unwahrscheinlich, dass da ein Durchschnittsuser in Gefahr gerät.

 

[MountWalker]

Mein Beitrag war nicht an deinen ersten, sondern an den zweiten Absatz gerichtet. Das ist mir einfach zu stark heruntergespielt und verharmlost. Es ist eine Gefahr auch für Home-User, wenn du das verleugnest kannst du gleich jedem sagen, er soll Root als Standard-User nutzen.

 

[Schorsch]

Natürlich, besteht eine Gefahr - allerdings nur wenn es jemanden gelingt, sich unberechtigt Lesezugriff auf mein Dateisystem zu verschaffen. Das sollte aber so leicht nicht möglich sein, da bei Ubuntus Firewall alle Ports geschlossen sind.
Ich verstehe ehrlich gesagt nicht ganz, wie du das mit dem Javascript gemeint hast und was dieser Bug mit der Rechtetrennung zu tun haben soll.
Wenn jemand über das Internet, Lesezugriff auf meinen Rechner hat, dann ist das immer eine schlechte Sache. Sämtliche privat oder geschäftlich gespeicherten Schriftstücke könnten eingesehen werden und ähnliches. Aber mir ist bisher keine Sicherheitslücke in Ubuntu bekannt, die dies ermöglicht. Damit dieser Bug also zur Gefahr werden kann, ist erstmal eine weitere Sicherheitslücke notwendig, die aber an sich schon Katastrophal für viele wäre.

 

[MountWalker]

Mein Gott, muss bei dir immer erst knallhart eine Lücke bekannt sein? Jede JavaScripting-Software enthält hin und wieder solceh Fehler, momentan ist gerade keine bekannt, aber Mozilla 1.4 hatte gleich mehrere davon, Firefox 0.8, 0.9.1 hattenebenfalls eine solche Lücke in ihrer JavaScripting-Software JavaScript. Würde also jetzt eine solche Lücke im aktuellen Gecko JavaScript gefunden werden hätten wir ein Problem. Klar ist das ein theoretischer, hypothetischer Fall, aber was ist jetzt so verwerflich mal zu erkläöhren, warum auch auf einem Heim-PC eine Lücke bei der Rechtetrennung fatal ist? Ja ok, du hast Recht, wir brauchen keine Rechtetrennung auf Heim-Systemen, weil die persönlichen Daten, die im Userspace gespeichert sind auch wichtig sind und die bei Kontrolle des Benutzers übers Internet auch mit fehlerlosem Rechtesystem gelöscht werden können und deswegen sollten wir jetzt alle Root als Standard-User benutzen ...

P.S.
Wegen der Rechtssicherheit: Der letzte Satz ist Ironie.

 

[Schorsch]

Mit den Lücken die du meinst, konnte afaik, der Inhalt des RAM gelesen werden, nicht der des gesamten Dateisystems. Solche gravierenden Lücken treten doch wohl eher ganz selten auf. Und die Wahrscheinlichkeit, dass diese in dem Zeitraum auftreten, in dem dieser Ubuntu Bug Aktuell ist, halte ich für sehr gering.

 

[DocNitro]

Leider muss ich bei dieser Meldung wieder mal feststellen, dass die News mehr den Missbrauch fördert als umgekehrt. Denn jetzt weiss der letzte Noob wo man es findet. Könnte man sowas nicht ohne konkrete Angaben machen? zB Hinweis auf Herstellerseite mit Patch Angaben(wenns einen gibt), Forum oder ähnliches?

Ist aber in letzter Zeit generell festzustellen, dass durch vermeintliche wichtige News eher das negative noch gefördert wird. Es ist knifflig wie man es jetzt machen soll, jedoch alles immer gnadenlos öffentlich machen ist auch der falsche Weg. Denn umso grösser die Masse der Leute die es weiss, desto wahrscheinlicher der häufigere Missbrauch.

Mit solchen News ist es halt ein bisschen wie die Huhn/Ei Frage.