Canonical Company korektivno izdanje instalatera , koji se podrazumevano koristi za instalaciju Ubuntu servera od izdanja 18.04 kada se instalira u režimu uživo. Popravljeno u novom izdanju () uzrokovano čuvanjem u dnevniku lozinke koju je postavio korisnik za pristup šifrovanoj LUKS particiji kreiranoj tokom instalacije. Ažuriranja sa eliminacijom ranjivosti još nisu objavljeni, ali nova verzija Subiquity sa popravkom u direktorijumu Snap Store, iz kojeg se instalacijski program može ažurirati prilikom pokretanja u režimu uživo, u fazi prije početka instalacije sistema.
Lozinka za šifrovanu particiju je pohranjena u otvorenom tekstu u datotekama autoinstall-user-data, curtin-install-cfg.yaml, curtin-install.log, installer-journal.txt i subiquity-curtin-install.conf, koje su sačuvan nakon instalacije u / direktorij var/log/installer. U konfiguracijama u kojima particija /var nije šifrovana, ako sistem padne u pogrešne ruke, lozinka za šifrovane particije može se izdvojiti iz ovih datoteka, što negira upotrebu šifrovanja.
izvor: opennet.ru