Por Fallo de Seguridad se Desactivan Sesiones de Invitado en Ubuntu

y

El día 11 de Mayo se emitió un notificación de Seguridad por parte de Ubuntu en la que se Informa que las Sesiones de Invitado de Ubuntu y otros Sabores de Ubuntu se han desactivado. Conoce los detalles de esta vulnerabilidad y como reactivar las sesiones de invitado en Ubuntu.

La advertencia de seguridad USN-3285-1 que se emitió el 11 de Mayo informa de una vulnerabilidad que afecta a las sesiones de invitado y que permite que un atacante pueda tener acceso a archivos que no debería tener acceso como los archivos de otros usuarios o archivos del sistema.

 

Esta vulnerabilidad fue descubierta meses antes, en el mes de febrero se vieron las primeras evidencias del problema aunque se manejado de forma confidencial hasta tener una solución. Esta llegó hace algunos días y se observa que la solución no fue tan rápida como se hubiera esperado ya que la categoría de esta vulnerabilidad se manejó como “medium” ya que un atacante debe tener acceso físico al equipo para poder explotar esta vulnerabilidad.

ubuntu 16.10 Login screen

Las versiones de Ubuntu que están afectadas por este problema son Ubuntu 16.10 y Ubuntu 17.x y algunos sabores de ubuntu en estas versiones que usan el mismo gestor de inicio de sesiones LightGDM 1.22.0. Esta versión tiene un conflicto con la suite de seguridad AppArmor y no funciona adecuadamente pues LightDM tiene un problema de compatibilidad con el sistema de inicio systemd pues en anteriores versiones se usaba upstart.

Para comprobarlo si tu distribución esta afectada por esta falla de seguridad puedes ejecutar este comando en un terminal:

cat /proc/self/attr/current

En las versiones de Ubuntu que no se presenta esta falla, verás un texto como el que regresa Ubuntu 16.04 (versión no está afectada)

/usr/lib/lightdm/lightdm-guest-session (enforce)

Mientras que versiones afectadas como Ubuntu 16.10 el texto cambia y semuestra una leyenda que dice:

unconfined

La solución no es tan sofisticada y en general creo que no se puede llamar una solución pues solo se desactiva la sesión de invitado, en realidad no se ha solucionado el conflicto, solo se inhabilita esta característica para evitar que la vulnerabilidad pueda ser explotada.

Al ejecutar las actualizaciones de software corrigen este problema de la forma que comentamos en el párrafo anterior. Si esto es un inconveniente para tí, existe la posibilidad de volver a activar la sesión de invitado editando el archivo
/etc/lightdm/lightdm.conf

Y agregando el siguiente texto:

# Manually enable guest sessions despite them not being confined
# IMPORTANT: Makes the system vulnerable to CVE-2017-8900
# https://bugs.launchpad.net/bugs/1663157
[Seat:*]
allow-guest=true

Solo si tienes control de quien accede a tu equipo, es posible que no sea mucho problema que permitas una sesión de invitados en tu laptop o equipo de escritorio.

Si quieres ver mas detalles de este fallo en Ubuntu y derivadas puedes ver los siguientes enlaces:

https://www.ubuntu.com/usn/usn-3285-1/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8900

 


This entry was posted in Ubuntu and tagged , . Bookmark the permalink.
Top Courses in IT & Software 640x480

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*


Calcula para comentar *

Más en Ubuntu
como instalar redis en ubuntu server 16.04 lts
Como instalar Redis en Ubuntu 16.04

Redis es una herramienta para agilizar el tiempo de respuesta de un sitio web cuando se está trabajando con sitios...

Cambiar el Nombre de Host en Ubuntu

Cambiar el nombre de host en Ubuntu en una tarea sencilla, cuando se instala Ubuntu te permite poner el nombre...

Cerrar