• IT-Karriere:
  • Services:

Focal Fossa: Ubuntu-Installer hat Crypto-Passwort geloggt

Das Passwort zur Festplattenverschlüsselung ist unter Umständen im Klartext von Ubuntu geloggt worden. Ein Update ist verfügbar.

Artikel veröffentlicht am ,
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04.
Das Fossa dient als Namensgeber für die Ubuntu-Version 20.04. (Bild: Stephane de Sakutin/AFP via Getty Images)

Die Entwickler des Linux-Distributors Canonical haben in ihrem neuen Server-Installer Subiquity einen als kritisch eingestuften Fehler behoben. Bei der Installation neuer Server-Instanzen hat die Installationsroutine das Passwort für die Festplattenverschlüsselung LUKS im Klartext in eine Log-Datei geschrieben. Dieses hätte so möglicherweise von Angreifern abgegriffen werden können.

Stellenmarkt
  1. Sika Automotive Frankfurt-Worms GmbH, Hamburg, Frankfurt, Worms
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf, Münster, Köln

Mit dem vor wenigen Wochen veröffentlichten Ubuntu 20.04 mit Langzeitunterstützung (LTS) alias Focal Fossa setzt das Entwicklerteam erstmals standardmäßig auf den neuen eigenen Server-Installer Subiquity, der nun von dem Fehler betroffen ist. Eingeführt hat das Ubuntu-Team den neuen Installer erstmals testweise mit Ubuntu 18.04 alias Bionic Beaver vor rund zwei Jahren. In der aktuellen Version von Ubuntu ersetzt Subiquity die bisher eingesetzte Installationsroutine auf Basis des Debian-Installers.

Die Sicherheitslücke (CVE-2020-11932) hat das Team dadurch behoben, dass das betroffene Passwort nicht mehr über eine Konfigurationsdatei weitergereicht wird, sondern künftig über ein temporär erstelltes sogenanntes Key-File, also eine eigens für das Passwort erstellte Datei. Die Entwickler haben die Änderung mit der Version 20.05.2 von Subiquity veröffentlicht.

Das Team weist darauf hin, dass der neuer Server-Installer über einen Live-Modus verfügt, der es der Software ermöglicht, noch vor der Installation ein Update für den Installer selbst einzuspielen. Nutzer, die diese Funktion aktivieren, sollten damit ab sofort vor dem versehentlichen Logging des Passworts geschützt sein. Darüber hinaus wird das Team auch die Ubuntu-Images neu erstellen, so dass das Update auch in den zum Download angebotenen Abbildern integriert ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. The Bradwell Conspiracy für 8,99€, Days of War: Definitive Edition für 8,30€, The King...
  2. (-55%) 26,99€
  3. 24,99€ (PS4 und Xbox One)
  4. 31,99€

kieleich 13. Mai 2020 / Themenstart

Das Problem ist daß man das einfach nicht macht. Auf die Merkliste für zukünftige...

the_doctor 13. Mai 2020 / Themenstart

Wo liegen die Unterschiede zwischen den beiden Installern? Bzw. welchen Vorteil hat...

Kommentieren


Folgen Sie uns
       


Disney Plus - Test

Der Streamingdienst Disney Plus wurde am 24. März 2020 endlich auch in Deutschland gestartet. Golem.de hat die Benutzeroberfläche einem Test unterzogen und auch einen Blick auf das Film- und Serienangebot des Netflix-Mitbewerbers geworfen.

Disney Plus - Test Video aufrufen
    •  /