Focal Fossa: Ubuntu-Installer hat Crypto-Passwort geloggt

Das Passwort zur Festplattenverschlüsselung ist unter Umständen im Klartext von Ubuntu geloggt worden. Ein Update ist verfügbar.

Artikel veröffentlicht am ,
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04.
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04. (Bild: Stephane de Sakutin/AFP via Getty Images)

Die Entwickler des Linux-Distributors Canonical haben in ihrem neuen Server-Installer Subiquity einen als kritisch eingestuften Fehler behoben. Bei der Installation neuer Server-Instanzen hat die Installationsroutine das Passwort für die Festplattenverschlüsselung LUKS im Klartext in eine Log-Datei geschrieben. Dieses hätte so möglicherweise von Angreifern abgegriffen werden können.

Stellenmarkt
  1. Einkäuferin / Einkäufer (w/m/d) für den Bereich Zentrale Beschaffung und IT-Vertragsmanagement
    Bau- und Liegenschaftsbetrieb NRW, Düsseldorf
  2. Anwendungsbetreuer ITWO SITE (m/w/d)
    Wesemann GmbH, Syke
Detailsuche

Mit dem vor wenigen Wochen veröffentlichten Ubuntu 20.04 mit Langzeitunterstützung (LTS) alias Focal Fossa setzt das Entwicklerteam erstmals standardmäßig auf den neuen eigenen Server-Installer Subiquity, der nun von dem Fehler betroffen ist. Eingeführt hat das Ubuntu-Team den neuen Installer erstmals testweise mit Ubuntu 18.04 alias Bionic Beaver vor rund zwei Jahren. In der aktuellen Version von Ubuntu ersetzt Subiquity die bisher eingesetzte Installationsroutine auf Basis des Debian-Installers.

Die Sicherheitslücke (CVE-2020-11932) hat das Team dadurch behoben, dass das betroffene Passwort nicht mehr über eine Konfigurationsdatei weitergereicht wird, sondern künftig über ein temporär erstelltes sogenanntes Key-File, also eine eigens für das Passwort erstellte Datei. Die Entwickler haben die Änderung mit der Version 20.05.2 von Subiquity veröffentlicht.

Das Team weist darauf hin, dass der neuer Server-Installer über einen Live-Modus verfügt, der es der Software ermöglicht, noch vor der Installation ein Update für den Installer selbst einzuspielen. Nutzer, die diese Funktion aktivieren, sollten damit ab sofort vor dem versehentlichen Logging des Passworts geschützt sein. Darüber hinaus wird das Team auch die Ubuntu-Images neu erstellen, so dass das Update auch in den zum Download angebotenen Abbildern integriert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Wettbewerb: EU soll Untersuchung von Googles Werbegeschäft planen
    Wettbewerb
    EU soll Untersuchung von Googles Werbegeschäft planen

    Die EU-Kommission lässt Google keine Pause: Als Nächstes soll das Werbegeschäft genau auf Wettbewerbseinschränkungen untersucht werden.

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

kieleich 13. Mai 2020

Das Problem ist daß man das einfach nicht macht. Auf die Merkliste für zukünftige...

the_doctor 13. Mai 2020

Wo liegen die Unterschiede zwischen den beiden Installern? Bzw. welchen Vorteil hat...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    •  /