Canoniek corrigerende release van het installatieprogramma , wat de standaard is voor Ubuntu Server-installaties vanaf release 18.04 bij installatie in de Live-modus. Uitgeschakeld in de nieuwe release (), veroorzaakt door het opslaan in het logboek van het wachtwoord dat door de gebruiker is opgegeven om toegang te krijgen tot de gecodeerde LUKS-partitie die tijdens de installatie is gemaakt. Updates met een oplossing voor de kwetsbaarheid zijn nog niet gepubliceerd, maar er is wel een nieuwe versie van Subiquity met een oplossing in de Snap Store-map, van waaruit het installatieprogramma kan worden bijgewerkt tijdens het downloaden in de Live-modus, in de fase vóór het starten van de systeeminstallatie.
Het wachtwoord voor de gecodeerde partitie wordt in leesbare tekst opgeslagen in de bestanden autoinstall-user-data, curtin-install-cfg.yaml, curtin-install.log, installer-journal.txt en subiquity-curtin-install.conf, opgeslagen na installatie in de map / var/log/installer. In configuraties waarbij de /var-partitie niet is gecodeerd en het systeem in verkeerde handen valt, kan het wachtwoord voor de gecodeerde partities uit deze bestanden worden gehaald, waardoor het gebruik van encryptie teniet wordt gedaan.
Bron: opennet.ru