美图欣赏 | 设为首页 | 加入收藏 | 网站地图

当前位置:新锦江平台:www.xjj7.com-电脑中国 > 系统 > Linux >

Ubuntu Server安装程序错误地将加密的存储密码泄露到其日志中

2020-08-03 10:19|来源:未知 |作者:dnzg |点击:

Canonical近年来一直致力于摆脱经典的Debian安装程序。在最近发布的Ubuntu 20.04 LTS中,Ubuntu Server安装程序完全使用了“Subiquity”安装程序,但是现在已经得到解决。不幸的是,一个安全问题已蔓延到Subiquity。

值得庆幸的是,Subiquity安装程序支持在安装过程中升级安装程序软件,因为CVE-2020-11932现在已经公开,被认为是一个严重的bug。Subiquity通过安装日志记录了LUKS加密的卷密码,然后将密码复制到磁盘上,而不是在加密的卷中,然后可以从那里轻松读取/泄露该磁盘。

对于那些使用Ubuntu服务器安装程序的用户,这个问题在v20.05.2中得到了修复,应该在下一次启动带有活动Internet连接的安装程序时升级。

(责任编辑:dnzg)