Вот, с чего надо было начинать. :) http://kitenet.net/~joey/blog/entry/a_bad_taste_in_the_mouth_detailed_ubuntu_...

http://ftp.acc.umu.se/mirror/cdimage.ubuntu.com/releases/dapper/flight-5/

Неприятно, но не смертельно. :)

> Баг уже пофиксили, новые пакеты сегодня с утра скачались с помощью >встроенной обновлялки.

>>Эти пакеты удалили логи инсталлера? :)

права выставлены правильные

Дистрибутив года, хехе

Вот это да, вот это дистрибутив года....
Gentoo рулит как всегда.

Значит ты уже пропатчился :-)

> права выставлены правильные

Да? А можно поинтересоваться, какой именно пакет это совершил?
Я вот сейчас только что тоже обновился, оно само предложило. Вот что
было до:
$ ls -la
total 4200
drwxr-xr-x  2 root root    4096 2006-02-18 17:46 .
drwxr-xr-x  3 root root    4096 2006-02-18 17:46 ..
-rw-r--r--  1 root root   63318 2006-02-18 17:46 questions.dat
-rw-r--r--  1 root root 4214961 2006-02-18 17:46 templates.dat

Вот что стало после:
$ ls -la
total 4200
drwxr-xr-x  2 root root    4096 2006-02-18 17:46 .
drwxr-xr-x  3 root root    4096 2006-02-18 17:46 ..
-rw-r--r--  1 root root   63318 2006-02-18 17:46 questions.dat
-rw-r--r--  1 root root 4214961 2006-02-18 17:46 templates.dat

Предлагаю найти 10 отличий.

The problem can be corrected by upgrading the affected package to version 2.67ubuntu20 (base-config) and 1:4.0.3-37ubuntu8 (passwd). In general, a standard system upgrade is sufficient to effect the necessary changes.

http://www.ubuntu.com/usn/usn-262-1

Ссылка уже пробегала.

Даже в Windows пароли открытым текстом не хранятся :)

umask надо было выставить соответствующий перед запуском инсталлера.

На харде нет, а вот в памяти :-) Не раз уже на это наступали.

Нет, оно как-то странно обновилось. После окончания оно подумало и снова
предложило обновиться. В том числе baso-config. И он уже, видимо, сделал
своё дело:

$ ls -la
total 4200
drwxr-xr-x  2 root root    4096 2006-03-13 14:14 .
drwxr-xr-x  3 root root    4096 2006-02-18 17:46 ..
-rw-------  1 root root   63284 2006-03-13 14:14 questions.dat
-rw-------  1 root root 4214961 2006-03-13 14:14 templates.dat

Вы перед каждым запуском программ заново umask выставляете? :))

Согласитесь, в памяти это несколько труднее, чем сделать F3 или дабл-клик :)

> umask надо было выставить соответствующий перед запуском инсталлера.

Нет, надо просто пароли в логи открытым текстом не лепить. Тогда будет проще и разработчикам, и юзерам.

В общем, подход команды ubuntu к вопросам безопасности мне ясен. Никому ничего не навязываю, но для себя вывод сделал: ubuntu может сгодиться на непритязательный домашний десктоп, как замена win98. Правда, с гамесами будет напряг.

> Нет, надо просто пароли в логи открытым текстом не лепить. Тогда будет проще и разработчикам, и юзерам.

Оракловый инсталлер для винды тоже лепит пароли в логи -- очень удобно -- когда пароль system забудешь -- всегда можно его найти grep'ом.

Я не знаю, как я установил убунту :) но у меня нет value с паролем в этом файле, и вообще в логах. Нигде. Но у меня после установки был и пользовательский аккаунт и рут рабочий. Так вот, ни рутового, ни пользовательского пароля в открытом виде по крайней мере нет в логах. Но это уже лирика. А по сути в данной ситуации рулит не только гента, но и оффтопик. Хотя у некоторых были подозрения, что с таким отношением к локальной безопасности, было тут обсуждение судошной политикт убунты, дело до добра не дойдёт. И вот результат... Рельно обидно, всё таки это не игрушки, дело даже не в этом конкретном косяке, а именно в подходе, который сделал это возможным. :(

... нет, пилять. Не годится оно в качестве десктопа. Попытавшись после обновления перегрузить машину обратно в WinXP, не нашёл в меню GRUB'а пункта "WinXP", одни убунты в разных ипостасях. Пункт "Other operating systems" не делает ничего. ЗАВТРА ЖЕ на этой машине будет СЛАКА, а Ubuntu - НИКОГДА больше.

Попробуй натрави греп своего пароля на рутовый раздел:) А вдруг в твоей версии просто они переместили место хранения пароля...;)

> Оракловый инсталлер для винды тоже лепит пароли в логи -- очень удобно -- когда пароль system забудешь -- всегда можно его найти grep'ом.

Это типа пример для подражания? Ню-ню.

убей себя, чуда.

Если ты никогда после установки продакшн машины не смотришь в директорию /var/log/, и не правишь там права, то что ты тут расплакался?

Имея доступ к логам, и без рут пароля на машине можно много чего натворить.

По этому треду сразу видно тру мега админов.

Тьфу блин. Давно уже зарекся на лор забить, да все привычка тянет.

Да, и не забудь, что В ПОЛНОЙ БЕЗОПАСНОСТИ ты почувствуешь себя только на openbsd. ггг

>А ссылка на патч где?????

Ыыыы!!! =)))

>Неприятно, но не смертельно. :)

Херасе не смертельно! Любой юзверь читает пароль первого юзверя системы, на которого в свою очередь настрен sudo без ограничений. И это --- не смертельно?? =)))

может еще не будем забывать, что в большинстве случаев этот юзер на этой системе будет единственный? Поэтому и не смертельно.

>может еще не будем забывать, что в большинстве случаев этот юзер на этой системе будет единственный? Поэтому и не смертельно.

Т.е. полагаемся как обычно на авось.

> может еще не будем забывать, что в большинстве случаев этот юзер на этой системе будет единственный? Поэтому и не смертельно.

Ubuntu -- "Linux Starter Edition" -- for single user mode applications only.

ubuntu -- единственный дистрибутив, который люди делают "для домохозяек". Тоесть с целью создания альтернативы виндовс.

Поэтому и получается по большей части "single user"

ну я же не говорил, что это хорошо. Я говорил, что "не смертельно". Ну а само сабой, таких ляпов в будующем им лучше избегать.

>Херасе не смертельно! Любой юзверь читает пароль первого юзверя системы, на которого в свою очередь настрен sudo без ограничений. И это --- не смертельно?? =)))

По моему скромному мнению - Ubuntu - это система для домашнего сегмента. Насколько я знаю никто не использует её для корпоративных целей. Да и сами производители Убунты позиционируют её именно как домашний десктоп. Конечно это не оправдывает такого наплевательского отношения к безопасности в данном релизе. Но! Баг выловили, пофиксили. В Dapper-е его уже не будет. Так что живите спокойно господа! А самой умной и конструктивной реакцией на сообщение об уязвимости будет чистка логов установки, либо обновление системы из security репозитория. Поливать же здесь грязью действительно очень хороший дистрибутив (да для домашнего использования преимущественно, но всё же) глупо. Вы сами льёте воду на мельницу Билла :(

Да... Сколько народа кричало о убунте, при этом обсирая др. дистры. Вот теперь всё всплыло. У меня дома ещё штук 30 дисков есть, пойду их сожгу :-/

>Да... Сколько народа кричало о убунте, при этом обсирая др. дистры. Вот теперь всё всплыло. У меня дома ещё штук 30 дисков есть, пойду их сожгу :-/

Реакция типичного лемминга. :(

Диски лучше бы к ближайшей школе отнёс и роздал ребятне. Толку больше было бы. Глядишь кто серьёзно заинтересуется.

> убей себя, чуда.

Только после Вас, сэр.

> Если ты никогда после установки продакшн машины не смотришь в директорию /var/log/

Смотрю.

> и не правишь там права

На логи инсталлера? Никогда не приходило в голову, что в них может содержаться какой-то криминал типа паролей. Это что, теперь нормой считается?

> Имея доступ к логам, и без рут пароля на машине можно много чего натворить.

Ну, например? Что можно сделать на машине, получив доступ к логам инсталлера? Если там нет паролей, естественно.

> Тьфу блин. Давно уже зарекся на лор забить, да все привычка тянет.

Забей. Лучше ещё раз логи проверь у себя - вдруг там опять пароли?

> Re: Критическая уязвимость в Ubuntu

Ибо Linux == Ubuntu
:-))

>Диски лучше бы к ближайшей школе отнёс и роздал ребятне. Толку больше было бы. Глядишь кто серьёзно заинтересуется.

Или другу своему ближнему отнеси, пусть он опубликует свой пароль.

> может еще не будем забывать, что в большинстве случаев этот юзер на этой системе будет единственный? Поэтому и не смертельно.

Вот я и говорю - замена win98. Только /boot/grub/menu.lst перед каждой перезагрузкой после обновления проверять надо - а то вдруг оно там снова всё потёрло, что ей не понравилось?

> Реакция типичного лемминга. :( Диски лучше бы к ближайшей школе отнёс и роздал ребятне. Толку больше было бы. Глядишь кто серьёзно заинтересуется.

Нефиг. Лучше за свои деньги запишу им Слаку/Мандриву/Сусь/Федору и раздам. А к афреканским поделкам приучать нельзя. Ф топку.

> Если ты никогда после установки продакшн машины не смотришь в директорию /var/log/,
> и не правишь там права, то что ты тут расплакался?

> Имея доступ к логам, и без рут пароля на машине можно много чего натворить.

И много дистрибутивов, у которых сходу доступ к логам доступен кому-то, кроме рута ?

>Вот я и говорю - замена win98. Только /boot/grub/menu.lst перед каждой перезагрузкой после обновления проверять надо - а то вдруг оно там снова всё потёрло, что ей не понравилось?

Не было такого ни разу. На скольких машинах с dual-boot не ставил. Загрузка всегда проходит отлично. Перезагрузка тоже. Загрузочное меню grub'а нормальное.

> Не было такого ни разу. На скольких машинах с dual-boot не ставил. Загрузка всегда проходит отлично. Перезагрузка тоже. Загрузочное меню grub'а нормальное.

Блин, ну вот только что случилось. Я по привычке нажал ENTER, когда появилось меню grub'а, потому что там винда была по дефолту. Смотрю - убунта снова грузится. Гляжу в menu.lst - нет виндового пункта. И в menu.lst~ тоже нет. Испарился бесследно.

> ЗАВТРА ЖЕ на этой машине будет СЛАКА, а Ubuntu - НИКОГДА больше.

Могу посоветовать Zenwalk (бывший minislack) - чудо, после самоубийства Ubuntu (скривилась от неопытности пользователя) Zenwalk работает на ура. И машинка вроде совсем старая - а работает гораздо шустрее Ubuntu.

mandriva, suse для кого, для кулцхакеров7

>Да... Сколько народа кричало о убунте, при этом обсирая др. дистры. Вот теперь всё всплыло. У меня дома ещё штук 30 дисков есть, пойду их сожгу :-/

Жесть! Ты что ли ниасили патч? =)

Подумаешь... мне убунта при установке собиралась отформатировать раздел с мандрейком, хотя я ей не разрешал этого делать.

> ubuntu -- единственный дистрибутив, который люди делают "для домохозяек". Тоесть с целью создания альтернативы виндовс.

"Для домохозяек", в эпоху распространения домашних сетей - это не значит "однопользовательская система". Вот даст, к примеру, домохозяйка ssh доступ какому-нибудь кул-хаЦкеру, чтобы он помог ей курсовик по кибернетической психофизике гипноза доделать, а у мужа домохозяйки чужие документы на десктопе появятся (или пропадут). Оно ему это надо?

> Жесть! Ты что ли ниасили патч? =)

Всё я осилил. Ну только кто знает, какую глупую ошипку найдут в следующий раз?

>Вот даст, к примеру, домохозяйка ssh доступ ...
уже смешно

>Пункт "Other operating systems" не делает ничего.

А чуть чуть пониже поискать не пробовали? У меня пункт был(правда у меня загрузчик винды стоит на фатовом разделе, граб вроде ещё не умеет нтфс)

По сабжу: я в а*е.

> А чуть чуть пониже поискать не пробовали?

Ниже НИЧЕГО НЕТ. Вот этими строками menu.lst заканчивается:

### END DEBIAN AUTOMAGIC KERNELS LIST

# This is a divider, added to separate the menu items below from the Debian
# ones.
title		Other operating systems:
root
 
И всё, больше ничего нет.

> У меня пункт был(правда у меня загрузчик винды стоит на фатовом разделе, граб вроде ещё не умеет нтфс)

Будешь смеяться, но у меня тоже FAT32.

> Нефиг. Лучше за свои деньги запишу им Слаку/Мандриву/Сусь/Федору и раздам.

спорим что ты этого не сделаешь? ты даже палец об палец удалить не можешь