Obteniendo contraseña de root ¿Bug?
Hola,
He observado un comportamiento que a mi juicio sería un fallo de
seguridad, pero nose que os parece..
Lo he probado en Debian Lenny y Squeeze con Gnome, la secuencia sería:
- Acceder a una aplicación gŕafica que solicite contraseña de
administrador, ejemplo Terminal de <<Root>>
- Introducir contraseña, y dejar la opción por defecto, de recordar la
contraseña durante la sesión.
- Desde este momento y hasta que se cierre sesión, cualquier usuario
sin privilegios de administrador, puede abrir un terminal y con el
comando siguiente: strace -o fich gksu ls, en el fichero "fich" va a
poder localizar la contraseña de administrador pero almacenada en
texto plano. ¿Veis normal poder acceder a la contraseña de
administrador en texto plano sólo porque se haya elegido recordar la
clave para una sesión? Bien es cierto que si se deja la sesión en este
estado, cualquier usuario puede realizar operaciones con privilegios
de administrador, pero de ahí a poder sacar la contraseña en texto
claro creo que hay un trecho.
Considero que es un fallo de seguridad, pero nose que os parece y que
paquete sería el culpable, no he encontrado ningún bug abierto que
describa este hecho.
Saludos.
--
--
=======================================
José Ramón Rubio
=======================================
Reply to: