Manjaro y Antergos aconsejan cambiar contraseñas

Si habéis actualizado Antergos en las últimas horas, seguro que habéis notado un aviso sobre una vulnerabilidad concerniente al instalador Cnchi, en versiones previas a 0.14.287 (hasta hace unos días, como quien dice).

El recién estrenado servicio de alertas críticas de la distro (antergos-alert que reemplaza a antergos-repo-priority), nos advierte de que el conjunto de bits aleatorios (sal), utilizados para crear nuestras contraseñas durante el proceso de instalación es débil y hasta cierto punto predecible.

Para ello un atacante debe conocer el hash con el que se ha generado y a partir de ahí, podría intentar técnicas de fuerza bruta y diccionarios para adivinar el password correspondiente.

El problema afecta también a Manjaro, tanto a los que hayan instalado con Calamares (versiones anteriores a v3.1.0.2) como con Thus (versiones anteriores a 0.9.5.2) , y aunque no parece una vulnerabilidad para alarmarse –puesto que exige ese conocimiento previo de la suma de verificación ligada a la contraseña–, no nos cuesta nada solucionarla.

Primero podemos comprobar de primera mano si estamos afectados por este bug (a menos que hayáis instalado en los últimos días, casi seguro que si).

Echamos un vistazo al archivo shadow:

sudo nano /etc/shadow

Pongamos que nuestro usuario se llama Rick, si nos encontramos un hash que empieza de esta manera, estamos afectados:

Rick: $6$Rick$ [...] [...]

Por contra lo normal sería algo parecido a esto:

Rick: $6$Q7hM [...] [...]

Lo bueno de este bug, es que tiene muy fácil solución y de paso nos va servir como recordatorio, en caso de que alguna vez deseemos cambiar nuestras credenciales en el sistema.

Basta con crear una contraseña nueva, ejecutando el comando passwd. En mi caso:

[jose@replicante ~]$ passwd  
Cambiando la contraseña de jose. 
Current password:  
Nueva contraseña:  
Vuelva a escribir la nueva contraseña:  
passwd: contraseña actualizada correctamente

Si queremos conservar la antigua, repetimos el proceso y volvemos a cambiar.

De la misma manera podemos modificar la contraseña de root (que seguro también va a estar afectada):

[jose@replicante ~]$ su 
Contraseña:  
[root@replicante jose]# passwd

o del resto de usuarios si somos los administradores del sistema.

[jose@replicante ~]$ su Rick
Contraseña:
[Rick@replicante ~]$ passwd
[jose@replicante ~]$ su Morty
Contraseña:
[Morty@replicante ~]$ passwd

La vulnerabilidad fue descubierta por un desarrollador llamado Bart Haan y en su resolución ha sido importante la buena comunicación existente, entre los equipos de Antergos y Manjaro.

21 thoughts on “Manjaro y Antergos aconsejan cambiar contraseñas”

  1. Felipe says:

    Buenas tardes, hice la prueba y salió como has posteado

    [floyola@fel ~]$ sudo cat /etc/shadow
    [sudo] password for floyola:
    floyola:$6$floyola$nO26pR……

    [floyola@fel ~]$ passwd
    Cambiando la contraseña de floyola.
    Current password:
    Nueva contraseña:
    Vuelva a escribir la nueva contraseña:
    passwd: contraseña actualizada correctamente

    [floyola@fel ~]$ sudo cat /etc/shadow
    floyola:$6$vDLERTLE4jJSSa5…..

    Saludos y gracias

    1. tannhausser says:

      De nada! Gracias a ti por comentar!

  2. linuxmanr4 says:

    Pues acabo de revisar mi Manjaro y no muestra nada similar a lo que mencionas en el artículo. Y ya tengo varios años con esta instalación.

    ¿A ti te aparecio el bug?

    1. tannhausser says:

      Pues a mi me aparece en los dos sistemas. Siendo la instalación de Manjaro más antigua que la Antergos (de 2014)

      1. linuxmanr4 says:

        El mío es un Manjaro de enero del 2013 y no presenta este comportamiento. De todos modos se agradece la información, uno nunca sabe 🙂

  3. Felipe Becerra says:

    Enterándome de que Rick y Morty son linuxeros jaja

    1. tannhausser says:

      Y extraterrestres. Dicen que se dedican a resolver bugs en la Galaxia.

  4. Esteban says:

    A Arch imagino que no afecta, no?

    1. tannhausser says:

      Creo que no! No he visto nada al respecto!

      1. MakuSensei says:

        mi instalación de archlinux la hice usando ArchAnywhere y no presenta ningún problema con las contraseñas por ende tampoco le afecta a Archlinux

  5. larryman75 says:

    Gracias Replicante, mi antergos estaba mal.

    1. tannhausser says:

      Me alegro que te haya servido. No creo que sea una vulnerabilidad muy grave, pero la veo tan fácil de resolver que mejor no arriesgarse.

  6. Héctor says:

    Muchas gracias por el tutorial, aplicado y corregido.

    1. tannhausser says:

      De nada Hector!

  7. AlexS says:

    ¡Muchas gracias Replicante! Detectado y corregido; y siempre al pendiente de tu canal en Telegram 🙂

    1. tannhausser says:

      Genial, lo de los canales es una de esas cosas que hacen grande a Telegram.

  8. Švejk says:

    Han sido varios años con el achaque. Corregido. Gracias, Tann.

    1. tannhausser says:

      Gracias Svejk. El mérito es de la persona que descubrió el bug, yo tan solo lo comparto con vosotros.

      Un saludo!

  9. Miguel Salcedo (@imiguelsalcedo) says:

    Gracias por el dato. Solucionado.

  10. D'Artagnan says:

    Sobre estos temas es que no paramos. Quizás si estuvieran implantados ya los ordenadores cuanticos.
    http://cadenaser.com/ser/2017/06/27/internacional/1498574649_956935.html

  11. Antonio PEREZ says:

    Gracias , solucionado..Antergos en gnome me dio el mensaje..

Deja un comentario