请选择 进入手机版 | 继续访问电脑版

Ubuntu Server 安装程序漏洞:将密码泄露到日志中

[复制链接]
查看670 | 回复0 | 2020-7-11 16:39:02 | 显示全部楼层 |阅读模式
最新版本的 Ubuntu Server 安装程序将密码泄露到了其日志文件中。
软件名称:Ubuntu 20.04 LTS 中文桌面版/服务器版 官方正式版 64位 软件大小:2.5GB更新时间:2020-04-24立即下载

Ubuntu Server 安装程序漏洞:将密码泄露到日志中-1.png

Subiquity 是 Ubuntu Server 的安装程序,它已经存在了近 3 年,但是直到上个月底发布的 Ubuntu 20.04 才将其作为默认支持工具,此前的 Debian Installer 镜像已经不再适用。 Subiquity 一直以来维护得也比较粗糙,但是现在它已经变成默认 Ubuntu Server 安装程序,也就意味着开发者需要更加关注到对它的维护上,很快就有开发者发现了其中的一个严重漏洞。
Ubuntu Server 安装程序漏洞:将密码泄露到日志中-2.png

这一漏洞表现为:LUKS 卷的密码会显示在各种输出中,包括:autoinstall-user-data curtin-install-cfg.yaml curtin-install.log installer-journal.txt subiquity-curtin-install.conf。
该漏洞被标记为 CVE 2020-11932,严重程度为“紧急”,不过,开发者目前已经修复了该漏洞,并且 Subiquity 本身支持在安装过程中升级安装程序,用户启动后即可以升级该程序。
到此这篇关于Ubuntu Server 安装程序漏洞将密码泄露到日志中的文章就介绍到这了,更多相关Ubuntu Server安装程序漏洞内容请搜索目录社区以前的文章或继续浏览下面的相关文章,希望大家以后多多支持目录社区!

买目录提供泛目录、二级目录、租目录、出租网站建设资源、编程学习类,提供asp、php、asp.net、javascript、jquery、vbscript、dos批处理、网页制作、网络编程、网站建设等编程资料。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则