[GUFSC] [UBUNTU] Falha Crítica!!

[code em inf.ufsc.br]

Gleidson,

Desculpe, pulei um passo lógico ali. A frase completa seria: "Exato, a
senha do sudoer está aberta [pelo bug] a quem já tem conta na máquina".
Você está completamente certo em dizer que o fato de ter conta não dá
direitos de superuser.

Acho que um exemplo a essa altura é dar missa pra padre, mas aí vai:

Crio minha conta na instalacão, 'augusto'. Ela tem acesso a sudo, e a
senha ficou em plaintext no /var/log/installer/cdebconf/questions.dat com
perms pra deus e o mundo.

Crio uma conta pro meu pinguim de estimacão, 'tux'. Por default, ele não
pode usar sudo, mas ele tem acesso ao arquivo com minha senha em
plaintext. Depois de espiar minha senha, dar um 'su augusto' seguido de um
'sudo [pure evil]' (com a minha conta/senha), ele tem root.

Reiterando meu ponto inicial, se o 'tux' não tivesse uma conta na máquina
pra comeco de conversa, ele nunca saberia a senha da conta sudoer. Por
isso digo que usuários de desktop que não distribuem contas pros amigos
não têm o que temer. Novamente, esse não é o caso em servidores maiores.

Desculpe o mal-entendido, mas eu me senti compelido a responder o e-mail
original por achar que o FUD em volta desse bug estava meio fora das
proporcões. A popularidade que o Ubuntu ganhou nos últimos tempos faz dele
um alvo fácil pra críticas drásticas, e apesar desse bug ser absurdo em
servers, ele estava sendo mal compreendido em vários fóruns de discussão
(vide slashdot).

Com dedos gastos, =)
Augusto


> Augusto Born de Oliveira escreveu:
>> Exato, a senha do sudoer está aberta a quem já tem conta na máquina;
>> acho que pode-se afirmar que na maioria dos casos de desktop só vai
>> existir um usuário, portanto isso não é um problema.
>>
>
> Podes explicar melhor isso de senha do sudoers está aberto a quem tem
> conta na máquina. Não sei se entendi errado, mas minha interpretação
> disso foi que qualquer conta que se crie na máquina tenha acesso de
> sudo, e portando de root, o que discordo completamente. Me corriga se eu
> estiver errado.
>
> Gleidson
>
> _______________________________________________
> GUFSC mailing list
> GUFSC em softwarelivre.ufsc.br
> https://www.softwarelivre.ufsc.br/mailman/listinfo/gufsc
>