• IT-Karriere:
  • Services:

Focal Fossa: Ubuntu-Installer hat Crypto-Passwort geloggt

Das Passwort zur Festplattenverschlüsselung ist unter Umständen im Klartext von Ubuntu geloggt worden. Ein Update ist verfügbar.

Artikel veröffentlicht am ,
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04.
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04. (Bild: Stephane de Sakutin/AFP via Getty Images)

Die Entwickler des Linux-Distributors Canonical haben in ihrem neuen Server-Installer Subiquity einen als kritisch eingestuften Fehler behoben. Bei der Installation neuer Server-Instanzen hat die Installationsroutine das Passwort für die Festplattenverschlüsselung LUKS im Klartext in eine Log-Datei geschrieben. Dieses hätte so möglicherweise von Angreifern abgegriffen werden können.

Stellenmarkt
  1. IT-Systemhaus der Bundesagentur für Arbeit, Nürnberg
  2. Stadtwerke Köln GmbH, Köln

Mit dem vor wenigen Wochen veröffentlichten Ubuntu 20.04 mit Langzeitunterstützung (LTS) alias Focal Fossa setzt das Entwicklerteam erstmals standardmäßig auf den neuen eigenen Server-Installer Subiquity, der nun von dem Fehler betroffen ist. Eingeführt hat das Ubuntu-Team den neuen Installer erstmals testweise mit Ubuntu 18.04 alias Bionic Beaver vor rund zwei Jahren. In der aktuellen Version von Ubuntu ersetzt Subiquity die bisher eingesetzte Installationsroutine auf Basis des Debian-Installers.

Die Sicherheitslücke (CVE-2020-11932) hat das Team dadurch behoben, dass das betroffene Passwort nicht mehr über eine Konfigurationsdatei weitergereicht wird, sondern künftig über ein temporär erstelltes sogenanntes Key-File, also eine eigens für das Passwort erstellte Datei. Die Entwickler haben die Änderung mit der Version 20.05.2 von Subiquity veröffentlicht.

Das Team weist darauf hin, dass der neuer Server-Installer über einen Live-Modus verfügt, der es der Software ermöglicht, noch vor der Installation ein Update für den Installer selbst einzuspielen. Nutzer, die diese Funktion aktivieren, sollten damit ab sofort vor dem versehentlichen Logging des Passworts geschützt sein. Darüber hinaus wird das Team auch die Ubuntu-Images neu erstellen, so dass das Update auch in den zum Download angebotenen Abbildern integriert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 749€
  2. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)
  3. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)

kieleich 13. Mai 2020

Das Problem ist daß man das einfach nicht macht. Auf die Merkliste für zukünftige...

the_doctor 13. Mai 2020

Wo liegen die Unterschiede zwischen den beiden Installern? Bzw. welchen Vorteil hat...


Folgen Sie uns
       


Playstation 5 ausgepackt

Im Video packt Golem.de aus: Nämlich die Playstation 5 von Sony.

Playstation 5 ausgepackt Video aufrufen
No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021

Demon's Souls im Test: Düsternis auf Basis von 10,5 Tflops
Demon's Souls im Test
Düsternis auf Basis von 10,5 Tflops

Das Remake von Demon's Souls ist das einzige PS5-Spiel von Sony, das nicht für die PS4 erscheint - und ein toller Einstieg in die Serie!
Von Peter Steinlechner


    Astronomie: Arecibo wird abgerissen
    Astronomie
    Arecibo wird abgerissen

    Das weltberühmte Radioteleskop ist nicht mehr zu retten. Reparaturarbeiten wären lebensgefährlich.

    1. Astronomie Zweites Kabel von Arecibo-Radioteleskop kaputt
    2. Die Zukunft des Universums Wie alles endet
    3. Astronomie Gibt es Leben auf der Venus?

      •  /