Canonical Company korrektiewe vrystelling van die installeerder , wat die verstek is vir Ubuntu Server-installasies wat begin met vrystelling 18.04 wanneer dit in Live-modus geïnstalleer word. Uitgeskakel in die nuwe weergawe (), wat veroorsaak word deur die stoor in die log die wagwoord wat deur die gebruiker gespesifiseer is om toegang te verkry tot die geënkripteerde LUKS-partisie wat tydens installasie geskep is. Opdaterings met 'n oplossing vir die kwesbaarheid is nog nie gepubliseer nie, maar 'n nuwe weergawe van Subiquity met 'n oplossing in die Snap Store-gids, waaruit die installeerder opgedateer kan word wanneer dit in Regstreekse modus afgelaai word, op die stadium voordat die stelselinstallasie begin word.
Die wagwoord vir die geënkripteerde partisie word in duidelike teks gestoor in die lêers autoinstall-user-data, curtin-install-cfg.yaml, curtin-install.log, installer-journal.txt en subiquity-curtin-install.conf, gestoor na installasie in die / gids var/log/installer. In konfigurasies waar die /var partisie nie geïnkripteer is nie, as die stelsel in die verkeerde hande val, kan die wagwoord vir die geënkripteerde partisies uit hierdie lêers onttrek word, wat die gebruik van enkripsie ontken.
Bron: opennet.ru