... vielleicht ganz interessant:

http://www.ubuntuforums.org/showthread.php?t=143334

:eek:

Also bei mir (dapper) steht da kein Passwort.
Ich werd mal in der breezy installation nachschauen.

Danke fuer den Tip!

Bei Dapper soll das problem nicht bestehen. Betrifft wohl nur Breezy, wenn ich das richtig verstanden habe.

bei mir gibts nicht mal das /var/log/installer/ verzeichnis...
hatte ursprünglich warty installiert und bin mittels dist-upgrade inzwischen bei dapper.

Nur Breezy ist betroffen.

Der Patch ist übrigens mittlerweile verfügbar, neun Stunden nachdem der Fehler gemeldet wurde.

Nur Breezy ist betroffen.

Der Patch ist übrigens mittlerweile verfügbar, neun Stunden nachdem der Fehler gemeldet wurde.

nur neun stunden danach?
das ist mal schnell bei M$ würde es ne woche wenn nicht sogar nen monat/ein jahr dauern
aber man muß da erstmal die datei mit den PW´s finden

nur neun stunden danach?
das ist mal schnell bei M$ würde es ne woche wenn nicht sogar nen monat/ein jahr dauern
aber man muß da erstmal die datei mit den PW´s finden
Also meiner Meinung nach sind 9 Stunden für einen solch grundlegenden Fehler, der sich so einfach beheben lässt, schon ziemlich viel.

nur neun stunden danach?
das ist mal schnell bei M$ würde es ne woche wenn nicht sogar nen monat/ein jahr dauern
aber man muß da erstmal die datei mit den PW´s finden
Nein würd es sicher nicht. Auch MS bringt bei sowas Hotfixes raus meist innerhalb des Tages an dem es gemeldet wurde je nach Prog aufwand.

9 stunden viel?
no way
die müßen auch erstmal rauskriegen was da falsch läuft
und ich glaube nicht das die immer 24/7 in allen foren schauen ob da irgendwas los ist

nur neun stunden danach?
das ist mal schnell bei M$ würde es ne woche wenn nicht sogar nen monat/ein jahr dauern
aber man muß da erstmal die datei mit den PW´s finden

1) Wieder mal schnödes MS Bashing.
2) Habe ich das Problem vor ca. 3 Wochen an 2 Verantwortliche des Ubuntu Core Teams geschickt. Ergebnis: Keine Antwort.
3) Flog ich aus den diversen Linux DAU Chats im IRC heraus, als ich die Leute darauf hingewiesen habe, dass Ubuntu braun ist und ich meinte damit nicht die Farbe

Und jetzt: OHA, der Fix ist da!

Da freuen wir uns aber drüber, dass MS die Wurzel des Übels ist und Linux eine grüne Aue...
Sorry, mir kommt bei sowas regelmäßig der Kaffee hoch.
Ich habe genug Rechner in meinem Bekanntenkreis dadurch gerootet...einfach um den Leuten zu zeigen, wie wahnsinnig sicher Linux doch sein kann. :/

Q

1) Wieder mal schnödes MS Bashing.
2) Habe ich das Problem vor ca. 3 Wochen an 2 Verantwortliche des Ubuntu Core Teams geschickt. Ergebnis: Keine Antwort.
3) Flog ich aus den diversen Linux DAU Chats im IRC heraus, als ich die Leute darauf hingewiesen habe, dass Ubuntu braun ist und ich meinte damit nicht die Farbe

Und jetzt: OHA, der Fix ist da!

Da freuen wir uns aber drüber, dass MS die Wurzel des Übels ist und Linux eine grüne Aue...
Sorry, mir kommt bei sowas regelmäßig der Kaffee hoch.
Ich habe genug Rechner in meinem Bekanntenkreis dadurch gerootet...einfach um den Leuten zu zeigen, wie wahnsinnig sicher Linux doch sein kann. :/

Q
hi
das soll kein M$ bashing sein
sonst hätte ich es wohl kaum auf meiner HDD :biggrin:
es ist einfach so das z.b. bei linux täglich neue updates kommen (und ich sage nicht sicherheitsupdates weil ich nicht weiß wofür die sind und wie sicher linux wirklich ist) bei M$ kommen die widerum nur 1x in der woche (und fürher nur 1x im jahr)

1x in der Woche?
Aber nicht auf diesem Planeten... ;)

Gruß,
Q

Ein neues Root Passwort kann ich doch immer anlegen oder wenn ich cdrom zugriff habe oder?

Egal, ne üble Sache auf alle Fälle.

Ein neues Root Passwort kann ich doch immer anlegen oder wenn ich cdrom zugriff habe oder?

Prinzipiell ist die Kiste "owned", wenn man physikalischen Zugriff hat und nicht Kryptographie eingesetzt wird. Das ist den meisten Leuten aber leider unklar.
Deswegen misst man die "Sicherheit" unter Unwissenden eben daran, ob der Rechner sich komisch verhält alsbald man ihn ans Netz hängt. ;)

Gruß,
Q

Also meiner Meinung nach sind 9 Stunden für einen solch grundlegenden Fehler, der sich so einfach beheben lässt, schon ziemlich viel.

9 stunden für einen nachträglichen fix ist zuviel X-D
das ist grad mal ein "sed" commando

1) Wieder mal schnödes MS Bashing.
Find ich auch gerade bei diesem Thema unangebracht.
2) Habe ich das Problem vor ca. 3 Wochen an 2 Verantwortliche des Ubuntu Core Teams geschickt. Ergebnis: Keine Antwort.
Is ja krass. Beim nächsten mal am besten in irgendwelche bekannteren Foren schreiben, damit das Problem zumindest bekannt wird.
3) Flog ich aus den diversen Linux DAU Chats im IRC heraus, als ich die Leute darauf hingewiesen habe, dass Ubuntu braun ist und ich meinte damit nicht die Farbe
;D Wie soll man das denn verstehen?

Habs grad auch überprüft. Das RootPasswort ist ganz deutlich in einer Datei bei /var/log/ zu lesen. Das ist wirklich schockierend.

Sorry, mir kommt bei sowas regelmäßig der Kaffee hoch.
Ich habe genug Rechner in meinem Bekanntenkreis dadurch gerootet...einfach um den Leuten zu zeigen, wie wahnsinnig sicher Linux doch sein kann. :/

Q

Linux unsicher? Mag sein. Aber in diesem Fall hier gehts ja um die eine Version von Ubuntu. Der Kernel an sich sollte solche gewaltigen Sicherheitslücken nicht haben, hoffe ich zumindest.

1) Wieder mal schnödes MS Bashing.
2) Habe ich das Problem vor ca. 3 Wochen an 2 Verantwortliche des Ubuntu Core Teams geschickt. Ergebnis: Keine Antwort.
3) Flog ich aus den diversen Linux DAU Chats im IRC heraus, als ich die Leute darauf hingewiesen habe, dass Ubuntu braun ist und ich meinte damit nicht die Farbe

Und jetzt: OHA, der Fix ist da!

Da freuen wir uns aber drüber, dass MS die Wurzel des Übels ist und Linux eine grüne Aue...
Sorry, mir kommt bei sowas regelmäßig der Kaffee hoch.
Ich habe genug Rechner in meinem Bekanntenkreis dadurch gerootet...einfach um den Leuten zu zeigen, wie wahnsinnig sicher Linux doch sein kann. :/

Q

An welche Mitarbeiter hast du es denn geschickt und warum nicht bei https://launchpad.net/distros/ubuntu/+bugs eingetragen?

Nur eine Vermutung, aber wahrscheinlich bist du aus den Chats geflogen, da du bashing betrieben hast, anstatt der community mit einem vernünftigen bug-report zu helfen.

Es handelt sich hierbei nicht um einen Fehler von Linux sondern von Ubuntu! Die Sicherheit einer einzelnen Distribution sagt nichts über die Sicherheit von Linux aus. BTW, wird bei WindowsXP nicht ein Administrator ohne Passwort bei der Installation angelegt? ;)

p.s. Ich will durch diesen Beitrag natürlich nicht den sehr kritischen Bug herunter spielen, denn immerhin wird Ubuntu/breezy auf vielen Rechnern (auch in mehreren Universitäten) eingesetzt...

Nur eine Vermutung, aber wahrscheinlich bist du aus den Chats geflogen, da du bashing betrieben hast, anstatt der community mit einem vernünftigen bug-report zu helfen.

Nein.
Nur können es Holzfällerhemdenträger und Nerds nicht leiden, wenn ihnen der Nickname "win32" sagt, dass mit ihrem Ubuntu etwas nicht stimmt.

Es handelt sich hierbei nicht um einen Fehler von Linux sondern von Ubuntu! Die Sicherheit einer einzelnen Distribution sagt nichts über die Sicherheit von Linux aus.

Wenn wir die Sicherheit eines OS nur auf den Kernel reduzieren, dann nenn mir den letzten Exploit für den Windows Kernel.
Natürlich sagt diese Lücke "nichts über Linux im Allgemeinen" aus. Nur rüttelt sie auch evtl. diese Leute wach, welche denken, dass Linux eine unerschütterliche Festung ist, wobei Linux für eine Distribution deiner Wahl steht.

BTW, wird bei WindowsXP nicht ein Administrator ohne Passwort bei der Installation angelegt? ;)

Bei der Home Version wird das gemacht.Worin da die Sicherheitslücke besteht, ist mir auch heute noch schleierhaft.
Wenn ich physikalischen Zugriff auf ein System habe, ist es in meinem Falle relativ egal welches System verwendet wird.
Ist dieses nicht sehr gut administriert und wird nicht starke Kryptographie eingesetzt, dann ist die Kiste schneller auf, als der DAU "kernel" buchstabieren kann. Und damit meine ich auch exotische Betriebssysteme, nicht nur XP und Linux.

Ich kenne im Privatbereich keinen User, der unter Linux massiv verschlüsseln würde. Das ist nämlich vielen ein wenig "zu kompliziert", wenns nicht gerade SUSE ist. Ulukay verschlüsselt wohl sein RAID, wie ich mich erinnere hier mal gelesen zu haben, und stellt damit wohl eine Ausnahme dar.

Gruß,
Q

P.S.: Die Namen müsste ich aus meiner Mailbox rausfischen, ich habe die Mail Adressen aber von Launchpad.

Holzfällerhemdenträger...meine Lieblinge.. :D

Ich kenne im Privatbereich keinen User, der unter Linux massiv verschlüsseln würde. Das ist nämlich vielen ein wenig "zu kompliziert", wenns nicht gerade SUSE ist. Ulukay verschlüsselt wohl sein RAID, wie ich mich erinnere hier mal gelesen zu haben, und stellt damit wohl eine Ausnahme dar.

loop-aes multikey-v3 256bit auf einem software raid5 ;)

wenn du was sichereres, transparenteres und schnelleres findest lass es mich wissen :)

btw. was hast du gegen holzfällerhemden :|

Nein.
Nur können es Holzfällerhemdenträger und Nerds nicht leiden, wenn ihnen der Nickname "win32" sagt, dass mit ihrem Ubuntu etwas nicht stimmt.

Vielleicht weil bei dem Nick gleich vermutet wird, dass es sich mal wieder nur um einen Troll handelt ;)


Wenn wir die Sicherheit eines OS nur auf den Kernel reduzieren, dann nenn mir den letzten Exploit für den Windows Kernel.
Natürlich sagt diese Lücke "nichts über Linux im Allgemeinen" aus. Nur rüttelt sie auch evtl. diese Leute wach, welche denken, dass Linux eine unerschütterliche Festung ist, wobei Linux für eine Distribution deiner Wahl steht.

Solche Leute wachrüttel kann nie schaden, da stimme ich dir zu


Bei der Home Version wird das gemacht.Worin da die Sicherheitslücke besteht, ist mir auch heute noch schleierhaft.
Wenn ich physikalischen Zugriff auf ein System habe, ist es in meinem Falle relativ egal welches System verwendet wird.
Ist dieses nicht sehr gut administriert und wird nicht starke Kryptographie eingesetzt, dann ist die Kiste schneller auf, als der DAU "kernel" buchstabieren kann. Und damit meine ich auch exotische Betriebssysteme, nicht nur XP und Linux.

Bei dem letzen XP Prof. das ich installiert habe wurde, wenn ich mich richtig erninner, auch eine Benutzer mit Adminrechten ohne PW erstellt.
Natürlich kommt man an alle Daten, sobald man physikalischen Zugriff hat, jedoch hat man oft nicht die Zeit die Festplatte auszubauen/von CD zu booten. Ein automatischer Login mit Adminrechten geht etwas schneller ;). Abhilfe bringt, wie du geschrieben hast, vernünftige Administration, dies gilt für alle Betriebssysteme :)



Ich kenne im Privatbereich keinen User, der unter Linux massiv verschlüsseln würde. Das ist nämlich vielen ein wenig "zu kompliziert", wenns nicht gerade SUSE ist. Ulukay verschlüsselt wohl sein RAID, wie ich mich erinnere hier mal gelesen zu haben, und stellt damit wohl eine Ausnahme dar.

Gruß,
Q

P.S.: Die Namen müsste ich aus meiner Mailbox rausfischen, ich habe die Mail Adressen aber von Launchpad.

Auf meinem Server ist alles mit loop-aes128 verschlüsselt, auf meinem Desktop nur eine kleine Partition... Für Leute die ein paar Monate mit Linux arbeiten, sollte es eine kleine Hürde sein das Dateisystem zu verschlüsseln (gibt haufenweise Anleitungen im Netz).

P.S.: Die Namen müsste ich aus meiner Mailbox rausfischen, ich habe die Mail Adressen aber von Launchpad.
wieso hast du das nicht gleich in launchpad gepostet? dafür gibts doch extra die "keep confidental" option.
So hätten alle zuständigen automatisch ne mail bekommen und es wäre sich auch dann darum gekümmert worden, wenn der maintainer grad im Urlaub oä. ist.

Auf meinem Server ist alles mit loop-aes128 verschlüsselt, auf meinem Desktop nur eine kleine Partition... Für Leute die ein paar Monate mit Linux arbeiten, sollte es eine kleine Hürde sein das Dateisystem zu verschlüsseln (gibt haufenweise Anleitungen im Netz).

Was wäre denn für mich als Privatanwender der Vorteil einer Verschlüsselung?
Grüße
wintermute

deine daten wären verschlüsselt :)

Habs grad auch überprüft. Das RootPasswort ist ganz deutlich in einer Datei bei /var/log/ zu lesen. Das ist wirklich schockierend.mmm...

http://www.golem.de/0603/43981 Der Bug wurde doch jetzt behoben, oder?

mmm...

http://www.golem.de/0603/43981 Der Bug wurde doch jetzt behoben, oder?

Ja, vorgestern gabs 3 aktualisierte Packete gegen das Problem.

gerade diesen feinen Beitrag über "udev" gelesen .. http://blog.madduck.net/debian/2006.03.15-udev-problems


Unfortunately, this isn't the first time that Ubuntu's "giving back to Debian" (which requires Debian to go out and fetch) is two steps back rather than one forward. I would hope that maintainers of criticial packages (such as udev) would exercise more care when pulling from Ubuntu. And that Ubuntu would please stop adding hacks to packages and instead concentrate on fixing issues at the root the Debian way.


Dem bin ich absolut einer Meinung. Bei all den augenscheinlichen Verbesserungen gibt es natürlich auch immer eine Kehrseite, die sich meist in der Qualität der Patches von Ubuntu wieder spiegelt.
(wenn Ubuntu überhaupt mal Patches weiter gibt; meist müssen Bugfixes/Updates eher eingeholt werden)

Passend fällt mir noch ein älterer Beitrag von Martin Schulze ein.. http://www.kitenet.net/~joey/blog/entry/a_bad_taste_in_the_mouth_detailed_ubuntu_patch_review-2005-10-13-03-57.html

Und versteht mich nicht falsch, diese soll keine destruktive Kritik gegen Ubugtu darstellen, sondern nur die Augen einiger Benutzer hier öffnen.