FERRAMENTAS LINUX: O instalador de servidor do Ubuntu estava vazando erroneamente a senha do armazenamento criptografado para o seu log

quarta-feira, 13 de maio de 2020

O instalador de servidor do Ubuntu estava vazando erroneamente a senha do armazenamento criptografado para o seu log







Confira !1


Com o Ubuntu 20.04 LTS, lançado recentemente, o instalador do Ubuntu Server usa exclusivamente o instalador "Subiquity" em que a Canonical vem trabalhando nos últimos anos, afastando-se do clássico Debian Installer. Infelizmente, um problema de segurança entrou no Subiquity que agora foi resolvido.

Felizmente, o instalador do Subiquity oferece suporte à atualização do software instalador durante o processo de instalação, pois o CVE-2020-11932 agora é público como o que foi considerado um erro crítico . A Subiquity registrava as senhas do volume criptografado LUKS por meio do log de instalação e, por sua vez, copiava a senha no disco, não necessariamente dentro do volume criptografado, que poderia ser facilmente lido / vazado a partir daí.

Para aqueles que usam o instalador do Ubuntu Server, o problema foi corrigido nov 20.05.2 e deve ser promovido para atualização na próxima inicialização do instalador com uma conexão ativa com a Internet.

Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário