Canonico rilascio correttivo dell'installatore , che è l'impostazione predefinita per le installazioni di Ubuntu Server a partire dalla versione 18.04 durante l'installazione in modalità Live. Eliminato nella nuova versione (), causato dal salvataggio nel log della password specificata dall'utente per accedere alla partizione LUKS crittografata creata durante l'installazione. Aggiornamenti con una correzione per la vulnerabilità non sono ancora state pubblicate, ma una nuova versione di Subiquity con una correzione nella directory Snap Store, da cui è possibile aggiornare l'installer durante il download in modalità Live, nella fase precedente all'avvio dell'installazione del sistema.
La password per la partizione crittografata viene salvata in chiaro nei file autoinstall-user-data, curtin-install-cfg.yaml, curtin-install.log, installer-journal.txt e subiquity-curtin-install.conf, salvata dopo installazione nella directory /var/log/installer. Nelle configurazioni in cui la partizione /var non è crittografata, se il sistema cade nelle mani sbagliate, la password per le partizioni crittografate può essere estratta da questi file, annullando l'uso della crittografia.
Fonte: opennet.ru