Conecta con nosotros

Hola, ¿qué estás buscando?

Actualidad

Los instaladores de Manjaro y Antergos han estado generando contraseñas débiles

Manjaro y Antergos

Manjaro y Antergos

En los últimos días se ha detectado un problema que ha afectado por igual tanto a Antergos como a Manjaro, y es que los instaladores de ambas distribuciones han estado generando contraseñas cifradas débiles para los usuarios, abriendo de esta manera la puerta a posibles ataques mediante fuerza bruta (probar combinaciones de contraseñas hasta hallar la correcta).

Se ha detectado en Manjaro y Antergos que sus instaladores usan un “sal” (o salt) predecible, permitiendo que se pueda llevar a cabo con éxito ataques mediante fuerza bruta si un atacante obtiene el hash de las contraseñas y averigua el valor sal empleado. Las contraseñas “hasheadas” son almacenadas por defecto en el fichero /etc/shadow, por lo que la única manera que tiene el atacante de obtenerlas es accediendo como root en el sistema.

El problema es más serio de lo que puede aparentar, ya que un valor predecible significa que las contraseñas en diferentes instalaciones han podido ser “hasheadas” con el mismo sal. Si un atacante obtiene los hash de las contraseñas de varias instalaciones, podría usar el sal predecible para construir una tabla con las posibles contraseñas.

Cambiar las contraseñas es la medida de mitigación recomendada

La medida de mitigación recomendada por las comunidades de Manjaro y Antergos es cambiar las contraseñas de root y el primer usuario común mediante passwd. Para realizar ambos cambios se tienen que seguir los siguientes pasos:

passwd # Cambiar la contraseña del usuario común o personal

Ahora toca hacer lo mismo con root:

su # Para acceder como root
passwd # Para cambiar la contraseña de root

Los usuarios creados después del proceso de instalación no están afectados por este problema, por lo que sus contraseñas no tienen por qué ser modificadas. En caso de haberse cambiado las contraseñas de los dos primeros usuarios (root y el primero personal) tras el proceso de instalación tampoco hay necesidad de volver a cambiarlas.

Versiones de los instaladores afectadas

Las versiones de los instaladores afectadas por este fallo de seguridad son las anteriores a la v0.14.287 en Cnchi, las anteriores a la v0.9.5.2 en Thus y las anteriores a la v3.1.0.2 en Calamares.

La comunidad de Manjaro ya ha lanzado la versión 17.0.2 de su sistema operativo, que incorpora las modificaciones para corregir la vulnerabilidad de contraseñas débiles hallada en Thus y Calamares. Por su parte, Cnchi en Antergos será parcheado de forma automática al actualizarse a sí mismo en el momento en que es iniciado.

Fuentes: Foro de Manjaro y Wiki de Antergos

Advertencia, desplázate para continuar leyendo

38 Comentarios
Advertencia
Advertencia

Te recomendamos

Actualidad

Lo publicábamos ayer en MC, pero vale la pena recogerlo aquí también, y es que la nueva versión del gestor de contraseñas KeePassXC llega con novedades reseñables....

Actualidad

openSUSE ha anunciado la incorporación de systemd-boot como cargador de arranque opcional para Tumbleweed, el sistema operativo mutable y rolling release desarrollado por el...

Actualidad

Poco más de dos meses después del lanzamiento de su nueva versión mayor llega Zorin OS 17.1, primera actualización de mantenimiento y algo más con...

Actualidad

El Grupo de Trabajo de Fedora Workstation ha aprobado la eliminación de la sesión de Xorg para la versión 41 de la distribución. La...