Scovata una falla nel login screen di Ubuntu: Canonical disabilita le guest sessions
By Matteo Gatti
Scovata una falla di sicurezza nel login screen di Ubuntu.
E’ stata resa pubblica una falla scovata nel login screen che affligge le versioni di Ubuntu 16.10 e 17.04.
Il problema riguarda LightDM, il display manager alla base dello Unity Greeter login screen. LightDM non confina correttamente le sessioni guest e quindi un hacker, che necessita di accesso fisico alla macchina, potrebbe facilmente accedere ai file dell’amministratore della macchina, se a conoscenza della falla.
Questo il messaggio di Tyler Hicks del 9 Febbraio:
Processes launched under a lightdm guest session are not confined by the /usr/lib/lightdm/lightdm-guest-session AppArmor profile in Ubuntu 16.10 and Ubuntu Zesty. The processes are actually unconfined.
The simple test case is to log into a guest session, launch a terminal with ctrl-alt-t, and run the following command:
$ cat /proc/self/attr/current
Expected output, as seen in Ubuntu 16.04 LTS, is:
/usr/lib/lightdm/lightdm-guest-session (enforce) –>questo è l’output atteso
Running the command inside of an Ubuntu 16.10 and newer guest session results in: unconfined –> questo è l’output restituito in zesty e Yakkety
Falla poco problematica
La falla è nota da 3 mesi ed è stata recentemente resa pubblica. Se il vostro pc è aggiornato non preoccupatevi, Canonical ha già rilasciato una patch che disabilita temporaneamente le guest sessions. Se per caso dopo gli aggiornamenti avete notato la loro assenza questo è il motivo.
Non avete aggiornato? Dovreste farlo. Controllate gli aggiornamenti dall’Update manager. In ogni caso questo è un problema che all’atto pratico preoccupa poco l’utente medio, nessuno di noi lascia il pc incustodito e anche se il pc andasse perso dubito che chi lo trova sia in grado di sfruttare questo exploit… Prevenire, comunque, è meglio che curare.
Quando il problema sarà risolto alla radice, gli ingegneri di Canonical sono già al lavoro per risolvere la cosa, le guest sessions verranno ri-abilitate.
Se volete ri-abilitarle manualmente dovete editare il file/etc/lightdm/lightdm.conf dando i seguenti comandi:
# Manually enable guest sessions despite them not being confined # IMPORTANT: Makes the system vulnerable to CVE-2017-8900 # https://bugs.launchpad.net/bugs/1663157 [Seat:*] allow-guest=true
Vi ricordiamo che seguirci è molto semplice: tramite la pagina Facebook ufficiale, tramite il nostro canale notizie Telegram e la nostra pagina Google Plus. Da oggi, poi, è possibile seguire il nostro canale ufficiale Telegram dedicato ad Offerte e Promo!
Qui potrete trovare le varie notizie da noi riportate sul blog. È possibile, inoltre, commentare, condividere e creare spunti di discussione inerenti l’argomento.
L’articolo Scovata una falla nel login screen di Ubuntu: Canonical disabilita le guest sessions sembra essere il primo su Lffl.org.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
