Focal Fossa: Ubuntu-Installer hat Crypto-Passwort geloggt

Das Passwort zur Festplattenverschlüsselung ist unter Umständen im Klartext von Ubuntu geloggt worden. Ein Update ist verfügbar.

Artikel veröffentlicht am ,
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04.
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04. (Bild: Stephane de Sakutin/AFP via Getty Images)

Die Entwickler des Linux-Distributors Canonical haben in ihrem neuen Server-Installer Subiquity einen als kritisch eingestuften Fehler behoben. Bei der Installation neuer Server-Instanzen hat die Installationsroutine das Passwort für die Festplattenverschlüsselung LUKS im Klartext in eine Log-Datei geschrieben. Dieses hätte so möglicherweise von Angreifern abgegriffen werden können.

Stellenmarkt
  1. Systemadministrator IT-/TK-Infrastruktur (m/w/d) im Kundencenter
    Commerz Direktservice GmbH, Duisburg
  2. IT Trainer / Consultant (m/w/d)
    Grass GmbH Gesellschaft für Beratung und Softwareentwicklung, Bad Kreuznach (Home-Office möglich)
Detailsuche

Mit dem vor wenigen Wochen veröffentlichten Ubuntu 20.04 mit Langzeitunterstützung (LTS) alias Focal Fossa setzt das Entwicklerteam erstmals standardmäßig auf den neuen eigenen Server-Installer Subiquity, der nun von dem Fehler betroffen ist. Eingeführt hat das Ubuntu-Team den neuen Installer erstmals testweise mit Ubuntu 18.04 alias Bionic Beaver vor rund zwei Jahren. In der aktuellen Version von Ubuntu ersetzt Subiquity die bisher eingesetzte Installationsroutine auf Basis des Debian-Installers.

Die Sicherheitslücke (CVE-2020-11932) hat das Team dadurch behoben, dass das betroffene Passwort nicht mehr über eine Konfigurationsdatei weitergereicht wird, sondern künftig über ein temporär erstelltes sogenanntes Key-File, also eine eigens für das Passwort erstellte Datei. Die Entwickler haben die Änderung mit der Version 20.05.2 von Subiquity veröffentlicht.

Das Team weist darauf hin, dass der neuer Server-Installer über einen Live-Modus verfügt, der es der Software ermöglicht, noch vor der Installation ein Update für den Installer selbst einzuspielen. Nutzer, die diese Funktion aktivieren, sollten damit ab sofort vor dem versehentlichen Logging des Passworts geschützt sein. Darüber hinaus wird das Team auch die Ubuntu-Images neu erstellen, so dass das Update auch in den zum Download angebotenen Abbildern integriert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


kieleich 13. Mai 2020

Das Problem ist daß man das einfach nicht macht. Auf die Merkliste für zukünftige...

the_doctor 13. Mai 2020

Wo liegen die Unterschiede zwischen den beiden Installern? Bzw. welchen Vorteil hat...



Aktuell auf der Startseite von Golem.de
Ebay-Kleinanzeigen
Im Chat mit den Phishing-Betrügern

Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
Ein Bericht von Friedhelm Greis

Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
Artikel
  1. Straftatbestand: Wenn Sexting zur Kinderpornografie wird
    Straftatbestand
    Wenn Sexting zur Kinderpornografie wird

    Der Straftatbestand Kinderpornografie umfasst auch Sexting unter Jugendlichen und betrifft ganze Schülerchats. Offenbar wissen viele gar nicht, wann sie strafbar handeln.

  2. Konzeptfahrzeug: Renault zeigt Hybrid-Wasserstoffauto Scénic Vision
    Konzeptfahrzeug
    Renault zeigt Hybrid-Wasserstoffauto Scénic Vision

    Renault hat den Scénic Vision vorgestellt. Das Elektroauto mit großem Akku nutzt seine Brennstoffzelle nur auf Langstrecke, um Ladepausen zu vermeiden.

  3. Spotify for Work: Unternehmen können Mitarbeitern Spotify-Abo schenken
    Spotify for Work
    Unternehmen können Mitarbeitern Spotify-Abo schenken

    Für Unternehmen bietet Spotify die Möglichkeit, die gesamte Belegschaft mit einem kostenlosen Spotify-Premium-Abo zu versorgen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /