Scovata una falla nel login screen di Ubuntu: Canonical disabilita le guest sessions

Matteo Gatti16 Maggio 2017

Scovata una falla di sicurezza nel login screen di Ubuntu.

E’ stata resa pubblica una falla scovata nel login screen che affligge le versioni di Ubuntu 16.10 e 17.04.

Il problema riguarda LightDM, il display manager alla base dello Unity Greeter login screen. LightDM non confina correttamente le sessioni guest e quindi un hacker, che necessita di accesso fisico alla macchina, potrebbe facilmente accedere ai file dell’amministratore della macchina, se a conoscenza della falla.

Questo il messaggio di Tyler Hicks del 9 Febbraio:

Processes launched under a lightdm guest session are not confined by the /usr/lib/lightdm/lightdm-guest-session AppArmor profile in Ubuntu 16.10 and Ubuntu Zesty. The processes are actually unconfined.
The simple test case is to log into a guest session, launch a terminal with ctrl-alt-t, and run the following command:
$ cat /proc/self/attr/current
Expected output, as seen in Ubuntu 16.04 LTS, is:
/usr/lib/lightdm/lightdm-guest-session (enforce) –>questo è l’output atteso

Running the command inside of an Ubuntu 16.10 and newer guest session results in: unconfined –> questo è l’output restituito in zesty e Yakkety

Falla poco problematica

La falla è nota da 3 mesi ed è stata recentemente resa pubblica. Se il vostro pc è aggiornato non preoccupatevi, Canonical ha già rilasciato una patch che disabilita temporaneamente le guest sessions. Se per caso dopo gli aggiornamenti avete notato la loro assenza questo è il motivo.

Non avete aggiornato? Dovreste farlo. Controllate gli aggiornamenti dall’Update manager. In ogni caso questo è un problema che all’atto pratico preoccupa poco l’utente medio, nessuno di noi lascia il pc incustodito e anche se il pc andasse perso dubito che chi lo trova sia in grado di sfruttare questo exploit… Prevenire, comunque, è meglio che curare.

Quando il problema sarà risolto alla radice, gli ingegneri di Canonical sono già al lavoro per risolvere la cosa, le guest sessions verranno ri-abilitate.

Se volete ri-abilitarle manualmente dovete editare il file/etc/lightdm/lightdm.conf dando i seguenti comandi:

# Manually enable guest sessions despite them not being confined
# IMPORTANT: Makes the system vulnerable to CVE-2017-8900
# https://bugs.launchpad.net/bugs/1663157
[Seat:*]
allow-guest=true

Vi ricordiamo che seguirci è molto semplice: tramitela pagina Facebook ufficiale, tramite il nostro canale notizie Telegrame la nostra pagina Google Plus. Da oggi, poi, è possibile seguire il nostro canale ufficiale Telegram dedicato ad Offerte e Promo!

Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.

Scovata una falla nel login screen di Ubuntu: Canonical disabilita le guest sessions

Falla poco problematica

Oggi in Home