站長資訊網最新版本的 Ubuntu Server 安裝程序將密碼泄露到了其日志文件中。
Subiquity 是 Ubuntu Server 的安裝程序,它已經存在了近 3 年,但是直到上個月底發布的 Ubuntu 20.04 才將其作為默認支持工具,此前的 Debian Installer 鏡像已經不再適用。 Subiquity 一直以來維護得也比較粗糙,但是現在它已經變成默認 Ubuntu Server 安裝程序,也就意味著開發者需要更加關注到對它的維護上,很快就有開發者發現了其中的一個嚴重漏洞。
這一漏洞表現為:LUKS 卷的密碼會顯示在各種輸出中,包括:autoinstall-user-data curtin-install-cfg.yaml curtin-install.log installer-journal.txt subiquity-curtin-install.conf。
該漏洞被標記為 CVE 2020-11932,嚴重程度為“緊急”,不過,開發者目前已經修復了該漏洞,并且 Subiquity 本身支持在安裝過程中升級安裝程序,用戶啟動后即可以升級該程序。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
