Focal Fossa: Ubuntu-Installer hat Crypto-Passwort geloggt

Das Passwort zur Festplattenverschlüsselung ist unter Umständen im Klartext von Ubuntu geloggt worden. Ein Update ist verfügbar.

Artikel veröffentlicht am ,
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04.
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04. (Bild: Stephane de Sakutin/AFP via Getty Images)

Die Entwickler des Linux-Distributors Canonical haben in ihrem neuen Server-Installer Subiquity einen als kritisch eingestuften Fehler behoben. Bei der Installation neuer Server-Instanzen hat die Installationsroutine das Passwort für die Festplattenverschlüsselung LUKS im Klartext in eine Log-Datei geschrieben. Dieses hätte so möglicherweise von Angreifern abgegriffen werden können.

Mit dem vor wenigen Wochen veröffentlichten Ubuntu 20.04 mit Langzeitunterstützung (LTS) alias Focal Fossa setzt das Entwicklerteam erstmals standardmäßig auf den neuen eigenen Server-Installer Subiquity, der nun von dem Fehler betroffen ist. Eingeführt hat das Ubuntu-Team den neuen Installer erstmals testweise mit Ubuntu 18.04 alias Bionic Beaver vor rund zwei Jahren. In der aktuellen Version von Ubuntu ersetzt Subiquity die bisher eingesetzte Installationsroutine auf Basis des Debian-Installers.

Die Sicherheitslücke (CVE-2020-11932) hat das Team dadurch behoben, dass das betroffene Passwort nicht mehr über eine Konfigurationsdatei weitergereicht wird, sondern künftig über ein temporär erstelltes sogenanntes Key-File, also eine eigens für das Passwort erstellte Datei. Die Entwickler haben die Änderung mit der Version 20.05.2 von Subiquity veröffentlicht.

Das Team weist darauf hin, dass der neuer Server-Installer über einen Live-Modus verfügt, der es der Software ermöglicht, noch vor der Installation ein Update für den Installer selbst einzuspielen. Nutzer, die diese Funktion aktivieren, sollten damit ab sofort vor dem versehentlichen Logging des Passworts geschützt sein. Darüber hinaus wird das Team auch die Ubuntu-Images neu erstellen, so dass das Update auch in den zum Download angebotenen Abbildern integriert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
40 Jahre
M.U.L.E. ist das beste Computerbrettspiel der Welt!

Ressourcen sammeln, Handel betreiben: M.U.L.E. war eine Revolution! Golem.de prüft, ob der Spieleklassiker 40 Jahren später noch Spaß macht.
Von Andreas Altenheimer

40 Jahre: M.U.L.E. ist das beste Computerbrettspiel der Welt!
Artikel
  1. Apple: Vision-Pro-Onlinekäufer müssen ihr Gesicht scannen
    Apple
    Vision-Pro-Onlinekäufer müssen ihr Gesicht scannen

    Star Wars und Snoopy: Apple wirbt mit bekannten Maskenträgern für Vision Pro. Normale Menschen müssen ihr Gesicht vor dem Kauf scannen.

  2. GPT Store: Gute Chatbots, schlechte Chatbots
    GPT Store
    Gute Chatbots, schlechte Chatbots

    Der GPT-Marktplatz bietet kurz nach seinem Start reichlich selbst erstellte GPTs. Die Orientierung fällt schwer, es gibt aber einige schöne Überraschungen.
    Von Mathias Küfner

  3. OpenAI: ChatGPT-Nutzung durch Militär nicht mehr ausgeschlossen
    OpenAI
    ChatGPT-Nutzung durch Militär nicht mehr ausgeschlossen

    Bisher hatte OpenAI die Verwendung seiner Sprachmodelle für "Militär und Kriegsführung" explizit untersagt. Das ist nun nicht mehr der Fall.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: Lexar NM790 4 TB 209€, be quiet! Dark Rock 4 55€, XFX Speedster QICK RX 7800 XT Core 499€ • Alternate: Thermaltake Toughliquid 240/360 ARGB 64,90€/82,90€ • DAMN! Deals: CPUs, Mainboards, RAM u. Grafikkarten zu Bestpreisen, z. B. PowerColor Hellhound RX 7900 XT 789€ [Werbung]
    •  /