#1 Le 06/10/2018, à 15:15
- OzBird
Problème majeur de sécurité (mot de passe root visible sur tty1)
Bonjour !
J'ai récemment observé un comportement préoccupant sur mon système (Ubuntu 18.04, Gnome avec gdm3 comme gestionnaire de session). Lors d'un ralentissement de ce système, j'ai souhaité basculer sur une console tty afin de tuer certains processus et à ma grande surprise sur le tty1 (Alt+Ctrl+1) je pouvais voir mon mot de passe root en clair...
J'ai redémarré le système pour tenter de reproduire ce comportement et après mettre connecté à ma session Gnome, j'ai pu de nouveau observer mon mot de passe en clair sur le tty1.
J'ai alors effectuer une mise à jour du système (dont gdm3 et plymouth):
Liste des paquets misent à jour :
libglvnd0_1.0.0-2ubuntu2.2_amd64.deb
libegl1_1.0.0-2ubuntu2.2_amd64.deb
libgles2_1.0.0-2ubuntu2.2_amd64.deb
libglx0_1.0.0-2ubuntu2.2_amd64.deb
libgl1_1.0.0-2ubuntu2.2_amd64.deb
libreoffice-l10n-eo_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
libreoffice-help-fr_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
libreoffice-l10n-fr_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
libreoffice-help-en-us_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
libreoffice-core_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-writer_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-avmedia-backend-gstreamer_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-base-core_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-math_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-ogltrans_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-style-galaxy_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
libreoffice-common_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
libreoffice-pdfimport_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
libreoffice-style-breeze_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
libreoffice-style-tango_1%3a6.0.6-0ubuntu0.18.04.1_all.deb
python3-uno_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-gtk3_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-gnome_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-draw_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-impress_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
libreoffice-calc_1%3a6.0.6-0ubuntu0.18.04.1_amd64.deb
uno-libs3_6.0.6-0ubuntu0.18.04.1_amd64.deb
ure_6.0.6-0ubuntu0.18.04.1_amd64.deb
libnautilus-extension1a_1%3a3.26.4-0~ubuntu18.04.1_amd64.deb
nautilus-data_1%3a3.26.4-0~ubuntu18.04.1_all.deb
nautilus_1%3a3.26.4-0~ubuntu18.04.1_amd64.deb
gir1.2-gdm-1.0_3.28.3-0ubuntu18.04.1_amd64.deb
libgdm1_3.28.3-0ubuntu18.04.1_amd64.deb
gdm3_3.28.3-0ubuntu18.04.1_amd64.deb
fonts-opensymbol_2%3a102.10+LibO6.0.6-0ubuntu0.18.04.1_all.deb
g++_4%3a7.3.0-3ubuntu2.1_amd64.deb
gcc_4%3a7.3.0-3ubuntu2.1_amd64.deb
fonts-liberation2_2.00.1-7~18.04.1_all.deb
fonts-liberation_1%3a1.07.4-7~18.04.1_all.deb
libcamel-1.2-61_3.28.5-0ubuntu0.18.04.1_amd64.deb
libedataserver-1.2-23_3.28.5-0ubuntu0.18.04.1_amd64.deb
libedataserverui-1.2-2_3.28.5-0ubuntu0.18.04.1_amd64.deb
evolution-data-server-common_3.28.5-0ubuntu0.18.04.1_all.deb
libebackend-1.2-10_3.28.5-0ubuntu0.18.04.1_amd64.deb
libecal-1.2-19_3.28.5-0ubuntu0.18.04.1_amd64.deb
libedata-cal-1.2-28_3.28.5-0ubuntu0.18.04.1_amd64.deb
libebook-contacts-1.2-2_3.28.5-0ubuntu0.18.04.1_amd64.deb
libedata-book-1.2-25_3.28.5-0ubuntu0.18.04.1_amd64.deb
libebook-1.2-19_3.28.5-0ubuntu0.18.04.1_amd64.deb
evolution-data-server_3.28.5-0ubuntu0.18.04.1_amd64.deb
cpp_4%3a7.3.0-3ubuntu2.1_amd64.deb
gcc-7-base_7.3.0-27ubuntu1~18.04_amd64.deb
cpp-7_7.3.0-27ubuntu1~18.04_amd64.deb
libgfortran4_7.3.0-27ubuntu1~18.04_amd64.deb
libgcc-7-dev_7.3.0-27ubuntu1~18.04_amd64.deb
libstdc++-7-dev_7.3.0-27ubuntu1~18.04_amd64.deb
gcc-7_7.3.0-27ubuntu1~18.04_amd64.deb
g++-7_7.3.0-27ubuntu1~18.04_amd64.deb
libcilkrts5_7.3.0-27ubuntu1~18.04_amd64.deb
libasan4_7.3.0-27ubuntu1~18.04_amd64.deb
libubsan0_7.3.0-27ubuntu1~18.04_amd64.deb
bolt_0.4-0ubuntu0.18.04.1_amd64.deb
binutils-common_2.30-21ubuntu1~18.04_amd64.deb
binutils_2.30-21ubuntu1~18.04_amd64.deb
libbinutils_2.30-21ubuntu1~18.04_amd64.deb
binutils-x86-64-linux-gnu_2.30-21ubuntu1~18.04_amd64.deb
appstream_0.12.0-3ubuntu1_amd64.deb
apt-config-icons_0.12.0-3ubuntu1_all.deb
libappstream4_0.12.0-3ubuntu1_amd64.deb
apport_2.20.9-0ubuntu7.4_all.deb
apport-gtk_2.20.9-0ubuntu7.4_all.deb
python3-apport_2.20.9-0ubuntu7.4_all.deb
python3-problem-report_2.20.9-0ubuntu7.4_all.deb
python3-update-manager_1%3a18.04.11.5_all.deb
python3-distupgrade_1%3a18.04.26_all.deb
update-manager_1%3a18.04.11.5_all.deb
update-manager-core_1%3a18.04.11.5_all.deb
ubuntu-release-upgrader-core_1%3a18.04.26_all.deb
plymouth-label_0.9.3-1ubuntu7.18.04.1_amd64.deb
plymouth-themes_0.9.3-1ubuntu7.18.04.1_amd64.deb
ubuntu-release-upgrader-gtk_1%3a18.04.26_all.deb
plymouth_0.9.3-1ubuntu7.18.04.1_amd64.deb
plymouth-theme-ubuntu-logo_0.9.3-1ubuntu7.18.04.1_amd64.deb
plymouth-theme-ubuntu-text_0.9.3-1ubuntu7.18.04.1_amd64.deb
libplymouth4_0.9.3-1ubuntu7.18.04.1_amd64.deb
initramfs-tools-bin_0.130ubuntu3.5_amd64.deb
initramfs-tools-core_0.130ubuntu3.5_all.deb
initramfs-tools_0.130ubuntu3.5_all.deb
libstdc++6_8.2.0-1ubuntu2~18.04_amd64.deb
libatomic1_8.2.0-1ubuntu2~18.04_amd64.deb
libcc1-0_8.2.0-1ubuntu2~18.04_amd64.deb
libgcc1_1%3a8.2.0-1ubuntu2~18.04_amd64.deb
gcc-8-base_8.2.0-1ubuntu2~18.04_amd64.deb
libgomp1_8.2.0-1ubuntu2~18.04_amd64.deb
libitm1_8.2.0-1ubuntu2~18.04_amd64.deb
liblsan0_8.2.0-1ubuntu2~18.04_amd64.deb
libmpx2_8.2.0-1ubuntu2~18.04_amd64.deb
libquadmath0_8.2.0-1ubuntu2~18.04_amd64.deb
libtsan0_8.2.0-1ubuntu2~18.04_amd64.deb
libpython3.6-minimal_3.6.6-1~18.04_amd64.deb
python3.6-minimal_3.6.6-1~18.04_amd64.deb
libpython3.6-stdlib_3.6.6-1~18.04_amd64.deb
python3.6_3.6.6-1~18.04_amd64.deb
libpython3.6_3.6.6-1~18.04_amd64.deb
libpython3.6-dev_3.6.6-1~18.04_amd64.deb
python3.6-dev_3.6.6-1~18.04_amd64.deb
libmagickcore-6.q16-3-extra_8%3a6.9.7.4+dfsg-16ubuntu6.4_amd64.deb
libmagick++-6.q16-7_8%3a6.9.7.4+dfsg-16ubuntu6.4_amd64.deb
imagemagick_8%3a6.9.7.4+dfsg-16ubuntu6.4_amd64.deb
imagemagick-6.q16_8%3a6.9.7.4+dfsg-16ubuntu6.4_amd64.deb
libmagickwand-6.q16-3_8%3a6.9.7.4+dfsg-16ubuntu6.4_amd64.deb
libmagickcore-6.q16-3_8%3a6.9.7.4+dfsg-16ubuntu6.4_amd64.deb
imagemagick-6-common_8%3a6.9.7.4+dfsg-16ubuntu6.4_all.deb
libimage-magick-perl_8%3a6.9.7.4+dfsg-16ubuntu6.4_all.deb
libimage-magick-q16-perl_8%3a6.9.7.4+dfsg-16ubuntu6.4_amd64.deb
Après cette mise à jour et redémarrage, je n'ai pas réussi a reproduire ce comportement, mais je reste tout de même préoccupé.
Pareil problème de sécurité a t'il été récemment reporté, puis corrigé par la mise à jour d'un des paquets listés précédemment ?
Arrivez vous à reproduire ce comportement sur votre système ?
Hors ligne
#2 Le 10/10/2018, à 22:57
- Vobul
Re : Problème majeur de sécurité (mot de passe root visible sur tty1)
Le bug est là : https://bugs.launchpad.net/ubuntu/+sour … ug/1767918
T'as mis à jour gdm, le bug n'est plus là. Rien d'autre à ajouter.
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#3 Le 12/10/2018, à 01:51
- OzBird
Re : Problème majeur de sécurité (mot de passe root visible sur tty1)
Super! Merci !
Donc le bug était imputable à plymouth. Me voila rassuré.
Dernière modification par OzBird (Le 12/10/2018, à 02:02)
Hors ligne