Ubuntu的服务器安装程序将加密存储密码泄露到其日志

2020-05-13 01:39:25

在最近发布的Ubuntu 20.04 LTS中,Ubuntu服务器安装程序独家使用Canonical近年来一直致力于的Subiquity安装程序,以摆脱经典的Debian安装程序。不幸的是,一个安全问题悄悄进入了Subiquity,现在已经解决了。值得庆幸的是,Subiquity安装程序支持在安装过程中升级安装程序软件,因为CVE2020-11932现在被认为是一个严重的错误。Subiquity通过安装日志记录Luk加密卷密码,然后将密码短语复制到磁盘(不一定在加密卷中),然后可以很容易地从那里读取/泄漏密码。对于那些使用Ubuntu Server安装程序的用户,该问题已在v20.05.2中修复,下次使用活动的Internet连接启动安装程序时,应将其升级为更新。