2259
Решение проблемы слабой защищенности паролей установщиками в Manjaro
*В системах, установленных с помощью Thus (старше 0.9.5.2) и Calamares (старше 3.1.0.2), хэш паролей недопустимо слабый. Данное обстоятельство имеет значение, если во время атаки злоумышленник имеет доступ к хэшам паролей. Команды Manjaro и Calamares убеждены, что установленные системы должны быть безопасны настолько, насколько это вообще возможно, поэтому расценивают такую ситуацию, как серьезную угрозу безопасности.
Поэтому главной рекомендацией пользователям является переназначение паролей на уже установленных системах с помощью парольных утилит, обеспечивающих более стойкие хэши. Это относится ко всем учетным записям пользователей, созданным во время установки системы с помощью указанных установщиков: собственной учетной записи пользователя и учетной записи администратора, если в ней предусмотрен пароль.
Во время установки системы Thus или Calamares создают обычного пользователя (например, с логином «bob») и присваивают ему пароль. Часто пароль устанавливается и для администратора системы.
Устанавливая пароль, Thus или Calamares используют модификатор хэшей, так называемую "соль", который легко предугадать. Это означает, что злоумышленнику будет известна соль хэша пароля пользователя «bob», а также пользователя «root». Если к этим знаниям добавится сам хэш пароля, обыкновенно хранящегося в /etc/shadow, то знание соли обеспечит злоумышленнику возможность взлома самого пароля.
Данная уязвимость не снижает стойкость пароля для учетных записей на единственной системе. Стойкость пароля снижается в тот момент, когда злоумышленник получает в свое распоряжение хэш пароля из другого источника.
Предсказуемая соль также означает, что пароли на разных машинах могут быть хэшированы одной и той же солью. Это означает, что все учетные записи администратора, установленные Thus (до версии v0.9.5.2) и Calamares (до версии v3.1.0.2), используют одну и ту же соль, и что злоумышленник, который может получить доступ к /etc/shadow на нескольких машинах, может использовать предсказуемую соль, чтобы заранее создать радужную таблицу для учетной записи администратора.
Пароли пользователей, добавленных в систему после установки, не подвержены влиянию данной уязвимости. Пароли пользователей, измененные с помощью passwd, не подвержены влиянию данной уязвимости.
Пользователям рекомендуется сбросить пароль на установленных системах с помощью passwd:
Во время изменении пароля установленная система Linux генерирует новую, случайную соль для хеша пароля, и этот пароль больше не будет подвержен влиянию уязвимости. Тем же способом можно переустановить пароль root командой sudo passwd.
Существующие DVD-диски, USB-накопители и прочие носители с Thus(версии старше v.9.9.2.2) и Calamares (версии старше v.3.1.0.2) в качестве установщиков системы останутся подвержены данной уязвимости. Поскольку Thus или Calamares являются системными установщиками, они обычно недоступны в уже установленной системе, и поэтому нет необходимости их обновлять после установки системы.
Начиная с Manjaro v17.0.2-rc322, используется Calamares v3.1.0.2 или выше, который больше не создает хэши паролей пользователей с предсказуемой солью.
Спасибо Барту Хаану за то, что он нашел исходную уязвимость пароля и Филиппу Мюллеру за расширенное тестирование в Манджаро.
* В дополнение к анонсу Manjaro 17.0.2.
Поэтому главной рекомендацией пользователям является переназначение паролей на уже установленных системах с помощью парольных утилит, обеспечивающих более стойкие хэши. Это относится ко всем учетным записям пользователей, созданным во время установки системы с помощью указанных установщиков: собственной учетной записи пользователя и учетной записи администратора, если в ней предусмотрен пароль.
Уязвимость
Во время установки системы Thus или Calamares создают обычного пользователя (например, с логином «bob») и присваивают ему пароль. Часто пароль устанавливается и для администратора системы.
Устанавливая пароль, Thus или Calamares используют модификатор хэшей, так называемую "соль", который легко предугадать. Это означает, что злоумышленнику будет известна соль хэша пароля пользователя «bob», а также пользователя «root». Если к этим знаниям добавится сам хэш пароля, обыкновенно хранящегося в /etc/shadow, то знание соли обеспечит злоумышленнику возможность взлома самого пароля.
Последствия
Данная уязвимость не снижает стойкость пароля для учетных записей на единственной системе. Стойкость пароля снижается в тот момент, когда злоумышленник получает в свое распоряжение хэш пароля из другого источника.
Предсказуемая соль также означает, что пароли на разных машинах могут быть хэшированы одной и той же солью. Это означает, что все учетные записи администратора, установленные Thus (до версии v0.9.5.2) и Calamares (до версии v3.1.0.2), используют одну и ту же соль, и что злоумышленник, который может получить доступ к /etc/shadow на нескольких машинах, может использовать предсказуемую соль, чтобы заранее создать радужную таблицу для учетной записи администратора.
Пароли пользователей, добавленных в систему после установки, не подвержены влиянию данной уязвимости. Пароли пользователей, измененные с помощью passwd, не подвержены влиянию данной уязвимости.
Противодействие
Пользователям рекомендуется сбросить пароль на установленных системах с помощью passwd:
user@system$ passwd
Смена пароля для user.
Текущий пароль :
Новый пароль :
Повторите ввод нового пароля :Во время изменении пароля установленная система Linux генерирует новую, случайную соль для хеша пароля, и этот пароль больше не будет подвержен влиянию уязвимости. Тем же способом можно переустановить пароль root командой sudo passwd.
Решение
Существующие DVD-диски, USB-накопители и прочие носители с Thus(версии старше v.9.9.2.2) и Calamares (версии старше v.3.1.0.2) в качестве установщиков системы останутся подвержены данной уязвимости. Поскольку Thus или Calamares являются системными установщиками, они обычно недоступны в уже установленной системе, и поэтому нет необходимости их обновлять после установки системы.
Начиная с Manjaro v17.0.2-rc322, используется Calamares v3.1.0.2 или выше, который больше не создает хэши паролей пользователей с предсказуемой солью.
Благодарности
Спасибо Барту Хаану за то, что он нашел исходную уязвимость пароля и Филиппу Мюллеру за расширенное тестирование в Манджаро.
* В дополнение к анонсу Manjaro 17.0.2.
2 комментария
bash.org