Grosse faille de sécurité dans l’écran de connexion d’Ubuntu 14.04

Ubuntu « Trusty Thar » est disponible depuis le 17 avril dernier, avec son lot de nouveautés, dont un nouvel écran de verrouillage.

Cependant, il vient d’être découvert une grosse faille à cet endroit, avec la possibilité de bypasser le mot de passe.

Il suffit de cliquer plusieurs fois avec le clic droit les indicateurs présents dans la barre du haut, puis appuyer sur ALT+F2 pour avoir accès aux raccourcis (ou CTRL+ALT+T pour ouvrir un terminal). Il devient alors très simple d’accéder à la session de l’utilisateur.

Démonstration vidéo

La faille a été patchée il y a 5 heures, mettez donc à jour au plus vite votre OS.

Ubuntu: Une faille dans sudo permet d’obtenir le droit root en modifiant l’heure

logo-ubuntu_su-orange-hex

Utilisateurs d’Ubuntu, attention…

Il y a 2 semaines, un bug au niveau de sudo révélé sur MacOS permettait à quiconque qui changeait la date de la machine au 1er janvier 1970 (début du temps sur Unix) d’obtenir le droit root (source).

Mais sur Reddit, l’utilisateur tnctic s’est rendu compte qu’une variante de ce bug s’applique à Ubuntu et est assez simple à reproduire.

Comparé à Debian (et certainement d’autres distributions?), Ubuntu et ses variantes (sauf Xubuntu) ne demandent pas de mot de passe root pour modifier l’heure dans les environnements Unity/Gnome/KDE/…

Exemple: Dans un terminal, éditez un fichier avec « sudo vim/nano » ou ouvrez une session root avec « sudo -i » / « sudo -s » pendant 10 minutes de 22h10 à 22h20. Après le timeout de sudo (qui peut être définie dans le fichier sudoers), si vous modifiez l’heure de l’ordinateur entre 22h10 et 22h20, vous pourrez à nouveau exécuter des commandes avec le droit root (sudo..) dans ce terminal.

time-ubuntu

Il y a donc un problème de sécurité, même si il reste assez minime. En effet, il faut avoir accès à la machine et savoir quand une session root a été ouverte (= pouvoir lire le fichier /var/log/auth.log).

Néanmoins, pour protéger un peu plus son ordinateur, on peut réduire à 0 le timeout de sudo dans sudoers et désinstaller le paquet policykit-desktop-privileges pour protéger par mot de passe le changement de date/heure.

Il reste donc à atteindre un changement de la part de Canonical pour empêcher le changement d’heure sans mot de passe (mais pour l’instant, c’est intentionnel) ou une modification de sudo pour qu’il utilise une « autre horloge interne ».

Suivi du bug de sudo
Discussion à propos du bug sur Reddit

Un thème Google Now pour Conky

Conky est un petit outil pratique pour surveiller en temps réel les informations de son ordinateur, en étant entièrement personnalisable.

~satya164 a développé un thème « Google Now » pour Conky, disponible sur Deviantart.

capture

Voici comment l’installer sur Debian/Ubuntu:

  • Installer Conky et Curl avec la commande sudo apt-get update && sudo apt-get install conky curl
  • Télécharger la configuration Conky ici ou sur la page Deviantart (« Download file » dans la colonne de droite) et l’extraire dans votre dossier personnel
  • Ouvrir le fichier .conkyrc et modifier la valeur 2294941 par l’ID Yahoo Weather de votre ville (faire une recherche sur weather.yahoo.com et prendre le numéro affiché dans l’URL de votre ville)
  • Démarrer Conky!

De base, la météo s’affiche pour les 5 jours suivants, le fichier .conkyrc-2 affiche la météo pour les 2 jours suivants. Il existe aussi un thème Dark et Transparent.

Il est bien sur possible d’ajouter d’autres informations avec les variables de Conky 🙂

Ubuntu dévoile Edge, son premier Ubuntu Phone & PC

EDIT suite à l’annonce:

Canonical a annoncé Edge, un smartphone qui peut être utilisé en tant que PC dès qu’il sera branché sur un dock. Voici la vidéo de présentation:

Ubuntu Edge, partie Hardware:

Il est prévu que le téléphone soit aussi puissant qu’un PC, avec :

  • Un processeur multi-core, 4GB de RAM et 128 GB de stockage.
  • Dual boot Android / Ubuntu OS
  • Ecran HD 1280×720
  • Caméra 8 MP

Ubuntu Edge, partie Software:
(suite…)

Installer simplement la dernière version d’Owncloud

owncloud

J’avais écrit il y a plus d’un an un tutoriel pour installer Owncloud sur un serveur Linux. Ce tutoriel est toujours d’actualité mais avec les dernières mises à jour, il est dorénavant possible de l’installer via le gestionnaire de paquets sur plusieurs distributions Linux.

Voici les commandes à exécuter sur un serveur Ubuntu 12.10:

  • sudo echo ‘deb http://download.opensuse.org/repositories/isv:ownCloud:community/xUbuntu_12.10/ /’ >> /etc/apt/sources.list.d/owncloud.list
  • sudo wget http://download.opensuse.org/repositories/isv:ownCloud:community/xUbuntu_12.10/Release.key
  • sudo apt-key add – < Release.key
  • sudo apt-get update && apt-get install owncloud

Pour les autres distributions (Debian, OpenSUSE, etc.)

Par rapport à la version 2.0.1 de mon précédent article, le logiciel a bien évolué apportant la lecture en streaming de vidéos, l’édition de fichiers (y compris du code), les contacts, le versionning, le support du WebDAV, les clients Desktop (Windows, Mac & Linux) et probablement un lecteur de flux RSS à venir…

owncloud1
owncloud2
owncloud3

Installer Ubuntu sur la gamme Nexus

ubuntu-tab-phone

Canonical vient de mettre en ligne la procédure pour installer Ubuntu sur la gamme Nexus (Galaxy Nexus, Nexus 4, 7 et 10).
Il faut cependant noter que cette version Alpha est seulement destiné à des tests pour le développement d’applications, toutes les fonctionnalités ne sont pas disponibles et la procédure efface l’intégralité de la tablette (il est possible de restaurer l’OS Android).

Ce qui devrait fonctionner à l’heure actuelle:

  • Applications de base
  • GSM, appels et SMS (Galaxy Nexus et Nexus 4)
  • Wifi
  • Camera
  • adb (Android Developer Bridge)

Etape 1: installer les outils sur Ubuntu

sudo add-apt-repository ppa:phablet-team/tools
sudo apt-get update
sudo apt-get install phablet-tools android-tools-adb android-tools-fastboot

Etape 2: déverrouiller le bootloader de l’appareil

  1. Quand l’appareil est éteint, allumez-le en maintenant les boutons d’alimentation + volume haut + volume bas en même temps
  2. L’appareil s’allume sur le bootloader
  3. Branchez le téléphone sur votre ordinateur avec le câble USB
  4. Exécutez la commande sudo fastboot oem unlock dans un terminal
  5. Acceptez les termes
  6. Quand le processus est fini, débranchez le câble USB et allumez à nouveau l’appareil

Etape 3: installer Ubuntu sur l’appareil

  1. Sur Android, activez le débogage USB (Paramètres -> Système -> Options de développement -> débogage USB)
  2. Branchez le téléphone à l’ordinateur avec le câble USB
  3. Gardez dans un coin le numéro de build installé (Paramètres -> A propos -> Numéro de build)
  4. Exécutez la commande phablet-flash -b dans un terminal
    Ou pour mettre à jour la version déjà installée sur votre appareil, la commande phablet-flash
  5. L’appareil redémarre sous Ubuntu!

En plus: remettre Android sur l’appareil

  1. Se rappeler du nom de build et se rendre sur ce site pour télécharger l’image d’usine de l’appareil
  2. Extraire l’archive et se rendre dans le dossier de l’image avec le terminal
  3. Exécutez les commandes sudo adb reboot-bootloader et sudo ./flash-all.sh
  4. L’appareil redémarre sous Android!

Source

Ubuntu pour tablettes

ubuntu-tab

Utilisant la même base qu’Ubuntu pour téléphones, il sera bientôt possible d’installer Ubuntu sur nos tablettes, avec une interface Unity dédiée au multi-touch et des fonctionnalités comme le multi-tâches sur le même écran, la recherche vocale et des applications en HTML5.

Voici la vidéo de présentation:

L’OS sera présenté lors de la conférence MWC à Barcelone, qui aura lieu du 25 au 28 février.

Intégrer Google Play Music dans Ubuntu

Le service Google Play Music a été lancé cette semaine en France avec deux possibilités majeures: acheter de la musique que l’on stocke dans son catalogue ou mettre en ligne son catalogue privé dans le cloud (limité à 20.000 titres) et l’écouter en streaming depuis le navigateur web ou l’application Android.

Avec Ubuntu, le logiciel Nuvola intègre Google Play Music (raccourcis claviers, notifications et intégration dans le menu son d’Ubuntu).

Voici les commandes pour l’installer:

  • sudo add-apt-repository ppa:nuvola-player-builders/stable
  • sudo apt-get update && sudo apt-get install nuvolaplayer

Commande facultative si vous n’avez pas installé de décodeur mp3:

  • sudo apt-get install gstreamer0.10-fluendo-mp3 gstreamer0.10-fluendo

Tester ChromeOS dans Ubuntu

Si vous avez envie de tester un peu ChromeOS, réservé pour l’instant aux Chromebooks, Janez Troha a mis un point un paquet DEB qui installe le bureau ChromiumOS et le gestionnaire de fenêtre Aura en plus d’Ubuntu.

Pour ce faire, téléchargez le deb ICI avec la dernière version d’Ubuntu 64 bits (ça ne fonctionne pas encore sur 32 bits pour le moment) et vous pouvez l’installer en ignorant l’avertissement, similaire à Google Chrome.

A la fin de l’installation, exécutez la commande chromeos, le paramétrage linguistique de Chrome OS va démarrer (vous pouvez agrandir la fenêtre) puis vous pourrez ensuite vous connecter avec vos identifiants Google pour retrouver vos fichiers, favoris et paramètres.

Il est aussi possible d’accéder à ChromeOS directement depuis l’écran de connexion en choisissant Chromium OS comme environnement de bureau.

Actuellement l’auteur précise ce qui fonctionne:

  • Connexion avec le compte Google
  • Synchronisation de Chrome
  • Adobe Flash, Java & Google Talk si ils sont installés dans Ubuntu
  • Accélération Hardware
  • Mode tablette
  • 64 bits

Et ce qui ne fonctionne pas:

  • Importer des images
  • Connexion en tant qu’invité
  • Mise à jour automatique
  • Niveau de la batterie
  • Certaines fonctions hardware

Source