服务器之家:专注于服务器技术及软件下载分享
分类导航

服务器资讯|IT/互联网|云计算|区块链|软件资讯|操作系统|手机数码|百科知识|免费资源|头条新闻|

服务器之家 - 新闻资讯 - 操作系统 - Ubuntu Server 安装程序漏洞:将密码泄露到日志中

Ubuntu Server 安装程序漏洞:将密码泄露到日志中

2020-05-14 15:33开源中国 操作系统

最新版本的Ubuntu Server 安装程序将密码泄露到了其日志文件中。该漏洞被标记为 CVE2020-11932,严重程度为“紧急”,不过,开发者目前已经修复了该漏洞,并且 Subiquity 本身支持在安装过程中升级安装程序,用户启动后即可以升级该

最新版本的Ubuntu Server 安装程序将密码泄露到了其日志文件中。

Ubuntu Server 安装程序漏洞:将密码泄露到日志中

Subiquity 是 Ubuntu Server 的安装程序,它已经存在了近 3 年,但是直到上个月底发布的Ubuntu 20.04 才将其作为默认支持工具,此前的 Debian Installer 镜像已经不再适用。Subiquity 一直以来维护得也比较粗糙,但是现在它已经变成默认 Ubuntu Server 安装程序,也就意味着开发者需要更加关注到对它的维护上,很快就有开发者发现了其中的一个严重漏洞

Ubuntu Server 安装程序漏洞:将密码泄露到日志中

这一漏洞表现为:LUKS 卷的密码会显示在各种输出中,包括:autoinstall-user-data curtin-install-cfg.yaml curtin-install.log installer-journal.txt subiquity-curtin-install.conf。

该漏洞被标记为 CVE2020-11932,严重程度为“紧急”,不过,开发者目前已经修复了该漏洞,并且 Subiquity 本身支持在安装过程中升级安装程序,用户启动后即可以升级该程序。

延伸 · 阅读

精彩推荐