Scovata una falla nel login screen di Ubuntu: Canonical disabilita le guest sessions

Maggio 16, 2017 nazionlinux GNU/Linux 0

Scovata una falla di sicurezza nel login screen di Ubuntu.

E’ stata resa pubblica una falla scovata nel login screen che affligge le versioni di Ubuntu 16.10 e 17.04.

Il problema riguarda LightDM, il display manager alla base dello Unity Greeter login screen. LightDM non confina correttamente le sessioni guest e quindi un hacker, che necessita di accesso fisico alla macchina, potrebbe facilmente accedere ai file dell’amministratore della macchina, se a conoscenza della falla.

Questo il messaggio di Tyler Hicks del 9 Febbraio:

Processes launched under a lightdm guest session are not confined by the /usr/lib/lightdm/lightdm-guest-session AppArmor profile in Ubuntu 16.10 and Ubuntu Zesty. The processes are actually unconfined.

The simple test case is to log into a guest session, launch a terminal with ctrl-alt-t, and run the following command:

 $ cat /proc/self/attr/current

Expected output, as seen in Ubuntu 16.04 LTS, is:

 /usr/lib/lightdm/lightdm-guest-session (enforce) –>questo è l’output atteso

Running the command inside of an Ubuntu 16.10 and newer guest session results in: unconfined –> questo è l’output restituito in zesty e Yakkety

Falla poco problematica

ubuntu login screen

La falla è nota da 3 mesi ed è stata recentemente resa pubblica. Se il vostro pc è aggiornato non preoccupatevi, Canonical ha già rilasciato una patch che disabilita temporaneamente le guest sessions. Se per caso dopo gli aggiornamenti avete notato la loro assenza questo è il motivo.

Non avete aggiornato? Dovreste farlo. Controllate gli aggiornamenti dall’Update manager. In ogni caso questo è un problema che all’atto pratico preoccupa poco l’utente medio, nessuno di noi lascia il pc incustodito e anche se il pc andasse perso dubito che chi lo trova sia in grado di sfruttare questo exploit… Prevenire, comunque, è meglio che curare.

Quando il problema sarà risolto alla radice, gli ingegneri di Canonical sono già al lavoro per risolvere la cosa, le guest sessions verranno ri-abilitate.

Se volete ri-abilitarle manualmente dovete editare il file/etc/lightdm/lightdm.conf dando i seguenti comandi:

# Manually enable guest sessions despite them not being confined
# IMPORTANT: Makes the system vulnerable to CVE-2017-8900
# https://bugs.launchpad.net/bugs/1663157
[Seat:*]
allow-guest=true

sharing-caring

Vi ricordiamo che seguirci è molto semplice: tramite la pagina Facebook ufficiale, tramite il nostro canale notizie Telegram e la nostra pagina Google Plus. Da oggi, poi, è possibile seguire il nostro canale ufficiale Telegram dedicato ad Offerte e Promo!

Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.

L’articolo Scovata una falla nel login screen di Ubuntu: Canonical disabilita le guest sessions sembra essere il primo su Lffl.org.


Source: Scovata una falla nel login screen di Ubuntu: Canonical disabilita le guest sessions