Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 2247 views
  • Users 0 members are here
Options
Suggested

[7.500][BUG][NOTABUG] fresh build root password blank allowed

dmzalarm
I just installed a new 7.50 instance using the iso downloaded from ftp site.

A config backup from another 7.50 instance was used and I rebooted the machine after the restore. I then tried logging in to console just to see if password still works (I know root and loginuser passwd are not part of restore and they should not work). When I tried the user root, system prompted me "password change request initiated..." and asked me for old password and new password. 

What surprised me was that the system happily took blank password (I didn't type anything but press enter) and allowed me in. I logged out and tried logging in as root and blank password just to confirm and it worked. I think the console login password change process is broken and it doesn't check user input (at least it doesn't make sure blank password isn't allowed).
Parents Reply Children
  • 0 in reply to andyk007
    Hi Andreas,

    I know the old root password is blank for fresh install, the bug I am trying to report is abt the password change script. 

    Pls go through following steps to reproduce it:

    1. fresh install 7.5 and restore config from backup (not sure restore is necessary but that is what I did.
    2. try logging in as root in console
    3. system will prompt for password change
    4. without entering anything, just press enter 3 times: blank for old password, blank for new password and blank for confirmation for new password. new root password will be "changed" to blank.

    the bug I am trying to report is the password change script not verifying user input and allow blank password for root.

    Regards

    Claude
  • 0 in reply to andyk007
    hi,

    thats no bug. After a fresh install password is not set so the "old" password is only blank. 

    Greetings
    andreas


    Andy,

    My post is not abt root password being blank for fresh install. I guess the thread title wasn't clear.

    I am talking about the password changing program when you first login to console as root - it happily takes in blank as password.
Unfiltered HTML