Publicidade

quarta-feira, 17 de maio de 2017

Falha de segurança na tela de login do Ubuntu poderia permitir que qualquer um acessasse seus arquivos.




Falha na tela de login permite o acesso aos arquivos.



Uma vulnerabilidade de segurança foi descoberta na tela de login do Ubuntu, e dá aos possíveis invasores acesso não autorizado a seus arquivos.

O problema  diz respeito ao LightDM, o gerenciador de exibição que alimenta a tela de login do Unity Greeter e afeta o Ubuntu 17.04 eo Ubuntu 16.10 .

O LightDM não confina corretamente a sessão de usuário convidado habilitada por padrão no Ubuntu. Um invasor com acesso físico a um sistema afetado poderia explorar a fraqueza para obter acesso aos arquivos ou outros usuários no sistema, incluindo arquivos nos diretórios base dos usuários.

Baseado em discussões no relatório de bug anexado ao problema (que agora é público), parece que a mudança para o systemd é (parcialmente) a culpa, e explica por que versões anteriores do Ubuntu (que usam upstart) não são afetadas.

Se você estiver usando um sistema completamente atualizado, não precisa entrar em pânico. A Canonical já enviou uma atualização que desabilita temporariamente os logins de sessão do Ubuntu (por isso, se você notou que estava faltando, é por isso).

Se você não tiver instalado a atualização que você realmente deveria. É bastante fácil: basta abrir o Gerenciador de Atualizações, verificar se há atualizações e instalar todos os patches de segurança críticos listados.

Embora a probabilidade de este problema realmente ser explorado seja mínima - lembre-se: alguém precisaria de acesso físico ao seu computador, e precisa saber sobre a vulnerabilidade e como usá-lo - é super reconfortante ouvir que os patches relevantes já foram empurrados para fora Comercial.

A Canonical diz que pode reativar sessões de clientes em uma atualização futura, mas, por enquanto, elas estão desativadas por padrão. Qualquer pessoa que precise usar sessões convidados pode conscientemente e manualmente reativá-los.

Como? Ao editar   e inserir o seguinte: código em /etc/lightdm/lightdm.conf

# Ativar manualmente sessões de convidados apesar deles não serem confinados
# IMPORTANTE: torna o sistema vulnerável a CVE-2017-8900
# Https : / /bugs.launchpad .net / bugs / 1663157
[Assento:*]
Allow-guest = true



Fonte

Até a próxima!!