Keamanan

Pengembang Calamares Ingatkan Pengguna untuk Reset Password Akibat Salt Lemah

Calamares

Kemarin pengembang perkakas penginstal independen Calamares meluncurkan pembaruan untuk versi 3.1. Salah satu pembaruan penting di sini adalah peningkatan salt pada password pengguna.

Menindaklanjuti pembaruan tersebut, pengembang Calamares mengingatkan pengguna yang pernah membuat akun user dari distro yang masih memakai Calamares di bawah 3.1.1 untuk mengganti password mereka. Pengembang mengungkapkan, salt dan hash yang di-generate oleh Calamares di bawah 3.1.1 cukup lemah sehingga orang jahil berpotensi mendapatkan hash dan meretas sistem Anda dengan lebih mudah.

Sedikit lebih detail, di versi sebelumnya, salt yang dibentuk oleh Calamares mudah ditebak dan diprediksi. “Ini berarti penyerang mengetahui salt untuk user bob, dan juga user root. Jika penyerang bisa memeroleh hash password (yang biasanya disimpan di /etc/shadow) lalu pengetahuan isi salt tadi akan membantu penyerang meretas password,” kata pengembang.

Keterangan seputar salt yang mudah diprediksi ini bisa dilihat di basis data Common Weakness Enumeration (CWE-760).

Buat pengguna distro GNU/Linux seperti Manjaro, Netrunner, Sabayon, OpenMandriva, Chakra, KaOS, dan distro yang dituliskan di sini diwajibkan untuk me-reset password dengan perintah passwd. Sebelumnya, periksa dulu password Anda dengan perintah:

$ sudo grep -E '^([_[:alnum:]]*):\$6\$\1' /etc/shadow

Apabila muncul output dengan username tertentu, maka password untuk username tersebut lemah dan diharapkan untuk segera diganti. Salt lemah ditunjukkan dalam deretan angka-huruf mengandung semacam $6$blabla$. Contoh deretan angka-huruf yang dimaksud seperti di bawah ini:

bob:$6$bob$dlQW5o8zM34dk2hQ:12345:0:99999:1:::

Jika Anda bermaksud memasang distro-distro yang disebutkan di atas, pastikan berkas ISO untuk menginstal merupakan berkas ISO baru yang dirilis setelah 26 Juni 2017—​meski ini tidak menjamin ISO baru membawa Calamares 3.1.1. Jika tidak, pastikan setelah menginstal distro, Anda langsung me-reset password Anda dengn passwd.

[wp_ad_camp_1]

Ramdziana adalah seorang narablog, pecinta kode, penggemar open source, pengguna GNU/Linux, dan penggemar Sherlock Holmes. Ikuti akun Twitter/Sebangsa @ramdziana
slot iklan

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Scroll to top