最新版本的Ubuntu Server 安裝程序?qū)⒚艽a泄露到了其日志文件中。

Subiquity 是 Ubuntu Server 的安裝程序，它已經(jīng)存在了近 3 年，但是直到上個(gè)月底發(fā)布的Ubuntu 20.04 才將其作為默認(rèn)支持工具，此前的 Debian Installer 鏡像已經(jīng)不再適用。Subiquity 一直以來維護(hù)得也比較粗糙，但是現(xiàn)在它已經(jīng)變成默認(rèn) Ubuntu Server 安裝程序，也就意味著開發(fā)者需要更加關(guān)注到對(duì)它的維護(hù)上，很快就有開發(fā)者發(fā)現(xiàn)了其中的一個(gè)嚴(yán)重漏洞。

這一漏洞表現(xiàn)為：LUKS 卷的密碼會(huì)顯示在各種輸出中，包括：autoinstall-user-data curtin-install-cfg.yaml curtin-install.log installer-journal.txt subiquity-curtin-install.conf。

該漏洞被標(biāo)記為 CVE2020-11932，嚴(yán)重程度為“緊急”，不過，開發(fā)者目前已經(jīng)修復(fù)了該漏洞，并且 Subiquity 本身支持在安裝過程中升級(jí)安裝程序，用戶啟動(dòng)后即可以升級(jí)該程序。