ثغرة في برنامج grub2 تجعله يقبل كلمات السر إذا تطابق حرف واحد فقط

[alsadi]

بسبب خطأ برمجي فإن البرنامج يقبل كلمات السر إن تطابق حرف واحد من كلمة السر فقط

A programming error in the feature lead to passwords being accepted as valid even if only the first character of the entered password was correct.

لكن أغلب مستخدمي أوبنتو لا يستخدمون كلمات سر على grub لكن إن كنت تستخدمها قم بترقية grub2 إلى 1.97.1

مصدر الخبر
Password hole in GRUB boot loader closed - The H Open Source: News and Features

ملاحظة: جاء في الخبر أن فيدورا 12 تستخدم grub2 وهذا غير صحيح. حيث أن فيدورا كان ولا زالت تستخدم نسخة خاصة بها من grub 1 بعد إضافة عدة مزايا له وهناك بعض التوزيعات تعتمد على grub 1 من فيدورا وليس من غنو (علما أن grub1 و grub2 كلاهما لم يصدر منهما أي إصدار مستقر من المنبع)

أما فيدورا 12 ستوفره في المستودعات دون أن تثبته وستظل تستعمل grub1 لأن grub2 لا يحتوي المزايا التي تحتاجها فيدورا

Features/Grub2 - FedoraProject

كذلك فإن الإصدار الذي في فيدورا ل grub2 هو grub2-1.98-0.6.20080827svn.fc12
وهو رقم يعني إصدارة تجريبية من 1.98 لأن ال release number أقل من واحد

لكن لا تغتر بالرقم فهذا أقل من 1.97.1 الذي به الحل.

من طرائف الحوار العبارات التالية:

alsadi: they say: "Various Linux distributions are now being shipped with GRUB 2, including Debian "sid", the soon to be released Fedora 12"
drago01_: no
mdomsch: ubuntu 9.10 has grub2, f12 doesn't
ajax: strictly, we do have a grub2 package
ajax: but it's not normally installed, and i don't know if grubby knows about it
alsadi: does "being shipped with GRUB 2" mean available in the repos or does it mean installed by default
ajax: that is an excellent question!
pp_: let ubuntu betatest something for a change ;)
....
adamw: ... i'm just looking at the question of whether the grub2 we have includes this bug or not.
(08:25:57 PM) adamw: heh, it's a bit hard to tell since our spec file claims to be pulling its snapshot from svn, while upstream claims to be using bazaar =)
لا يمكن أن نعرف لأن ملف spec يقول أنها جاءت من لقطة من svn مع أن المنبع يستعمل bzr
...

Oxf13: adamw: yeah, they moved to bzr when FSF got unbuntud
لقد انتقل المنبع إلى bzr بعد أن تم أوبنتوة (فعل من أوبنتو) مؤسسة البرمجيات الحرة
...

[محمد نجم]

let ubuntu betatest something for a change ;)

:D

yeah, they moved to bzr when FSF got unbuntud

صحيح : اعرف الفروقات بين svn و git واعرف نقاط تفوق git
لكن ما الفرق بين bzr و git

[أمين روخ]

شكرا أستاذ على الخبر

الثغرة إكتشفت من فريق دبيان وثم ترقيعها ودفعها للمنبع:

#555195 - grub2: password checking oddity - Debian Bug report logs

http://lists.gnu.org/archive/html/gr.../msg00076.html

[alsadi]

لكن ما الفرق بين bzr و git

وأنا مثلك لا أعرفها!

[سمير الجعبة]

بسبب خطأ برمجي فإن البرنامج يقبل كلمات السر إن تطابق حرف واحد من كلمة السر فقط

a programming error in the feature lead to passwords being accepted as valid even if only the first character of the entered password was correct

الثغرة في حال تطابق أول حرف من كلمة المرور وليس أي حرف أخي مؤيد.

أجمل ما في عالم البرامج الحرة و[المفتوحة المصدر] سرعة سد الثغرات.

سؤال حول موضوع كلمة المرور هذه هل هي عند تشغيل الجهاز "محمل الإقلاع" أم في إعادة تعيين بعض الخصائص في grub أثناء عمل الجهاز أم في الحالتين؟

[alsadi]

الثغرة في حال تطابق أول حرف من كلمة المرور وليس أي حرف أخي مؤيد.

نعم هذا ما قصدته

سؤال حول موضوع كلمة المرور هذه هل هي عند تشغيل الجهاز "محمل الإقلاع" أم في إعادة تعيين بعض الخصائص في grub أثناء عمل الجهاز أم في الحالتين؟

كما قلت لا يستخدم أغلب مستخدمي ديبيان أو أوبنتو كلمات سر!

عند وضع كلمة سر على grub1 (لأني لم أستعمل grub2)
فإن الشيء الوحيد الذي تستطيع عمله هو التحرك بالأسهم واختيار نظام ثم ENTER

أما الحصول على سطر أوامر grub (عبر حرف c)
أو تمرير خيارات إضافية للنواة عبر a (مثل الخيار 1 أو s الذي يدخل بصلاحيات الجذر في طور المستخدم الواحد دون السؤال عن كلمة سر الجذر)
كلها لا تكون فاعلة إلا بعد الضغط على حرف p ثم كتابة كلمة السر

كذلك يمكن قفل أحد الخيارات الموجودة في القائمة كما في المثال الموجود في كتاب لينكس الشامل حيث منعت الدخول إلى ويندوز إلا بكلمة سر grub

كتاب لينكس الشامل :: إعداد grub

[abdilra7eem]

السلام عليكم

عند وضع كلمة سر على grub1 (لأني لم أستعمل grub2)

نفس الشيء مع grub2 (أعجوبة 3)
وشكرا على التنبيه!

[abdilra7eem]

:D
لكن ما الفرق بين bzr و git

صراحة، وأنا لا اعرف ايضاً!!
ولكني وجدت هذه:

git/bzr
هذه مقارنة من وجهة نظر bzr (جيدة) : BzrVsGit - Bazaar Version Control
وهذه مقارنة احصائية (ارقام) : git/bzr historical performance comparison LaserJock
وهذه مقارنة ممتازة: InfoQ: Distributed Version Control Systems: A Not-So-Quick Guide Through
وهذا موقع للمقارنة بين الاثنين : bzr vs. git | we don't care which VCS you choose, but use something!

----------
لمن لا يعرف ايا من الثلاثة:
Git (software) - Wikipedia, the free encyclopedia
Subversion (software) - Wikipedia, the free encyclopedia
Bazaar (software) - Wikipedia, the free encyclopedia

git/svn
Git vs SVN for bosses | Floorplanner Tech Blog
Distributed Revision Control Systems: Git vs. Mercurial vs. SVN - RussellBeattie.com
Git vs SVN – Which is Better? – Looble... Looble!

سلام

[abdool540]

يعطيك العافية على الفائدة

وحبيت استفسر انا قبل يومين نصبت الابونتو 9.10 هل البرنامج موجود عندي تلقائياً , وماوظيفتة؟ وهل يحتاج اعمل ترقية للبرنامج grub2 او لا

واذا كان يحتاج ياليت اعرف كيف خطوات عمل الترقية لاني مبتدىء

وبارك الله فيك

[فتحي القدسي]

يعطيك العافية على الفائدة

وحبيت استفسر انا قبل يومين نصبت الابونتو 9.10 هل البرنامج موجود عندي تلقائياً , وماوظيفتة؟ وهل يحتاج اعمل ترقية للبرنامج grub2 او لا

واذا كان يحتاج ياليت اعرف كيف خطوات عمل الترقية لاني مبتدىء

وبارك الله فيك

سيشعرك مدير التحديثات حين وصول اي تحديث فقط وافق على التحديث