最新版本的 Ubuntu Server 安裝程式將密碼洩露到了其日誌檔案中。
Subiquity 是 Ubuntu Server 的安裝程式,它已經存在了近 3 年,但是直到上個月底釋出的 Ubuntu 20.04 才將其作為預設支援工具,此前的 Debian Installer 映象已經不再適用。 Subiquity 一直以來維護得也比較粗糙,但是現在它已經變成預設 Ubuntu Server 安裝程式,也就意味著開發者需要更加關注到對它的維護上,很快就有開發者發現了其中的一個嚴重漏洞。
這一漏洞表現為:LUKS 卷的密碼會顯示在各種輸出中,包括:autoinstall-user-data curtin-install-cfg.yaml curtin-install.log installer-journal.txt subiquity-curtin-install.conf。
該漏洞被標記為 CVE 2020-11932,嚴重程度為“緊急”,不過,開發者目前已經修復了該漏洞,並且 Subiquity 本身支援在安裝過程中升級安裝程式,使用者啟動後即可以升級該程式。
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/115601/ubuntu-server-subiquity-password-leak
Ubuntu Server 安裝程式漏洞:將密碼洩露到日誌中已經有233次圍觀
