TeamQuest Blog

Krytyczna podatność serwerowego Ubuntu. Klucze szyfrowania pamięci w logach

Krytyczna podatność serwerowego Ubuntu. Klucze szyfrowania pamięci w logach

Maciej Olanicki , 13.05.2020 r.

Opisywane wczoraj problemy z nowym sklepem oprogramowania w Ubuntu dowodzą, że Canonical nie uniknął błędów w pracach nad najnowszą wersją swojej dystrybucji. Niekonsekwencja i brak odpowiednich komunikatów wypadają jednak blado przed ujawnioną właśnie luką bezpieczeństwa w instalatorze serwerowej wersji systemu. Wszystkim jego użytkownikom jego zalecamy jak najszybszą aktualizację instalatora.

Krytyczna podatność w Subiquity

W grudniu zeszłego roku Canonical poinformował, że wariant Ubuntu kierowany na serwery zyska nowy instalator, który dotąd dostępny był wyłącznie jako opcja. Subiquity (bazujący rzecz jasna na wykorzystywanym już wcześniej na desktopach Ubiquity) zastąpiło oprogramowanie odziedziczone po Debianie i miało zapewnić wsparcie dla RAID i LVM wraz z szyfrowaniem, możliwość instalacji nawet bez połączenia z Siecią, a także – co jest szczególnie ważne w kontekście ujawnionej podatności – funkcję samoaktualizacji instalatora.

subiquity Automatyczna aktualizacja Subiquity.

Jak jednak dowiadujemy się ze zgłoszenia na Launchpadzie, Canonical w pracach nad wdrożeniem Subiquity w stabilnej serwerowej wersji Ubuntu 20.04 LTS dopuścił się potencjalnie fatalnego w skutkach niedopatrzenia. Krytyczna podatność oznaczona jako CVE-2020-11932 polega na tym, że instalator serwerowego Ubuntu zapisywał w logach hasła do dysków zaszyfrowanych zgodnie ze standardem LUKS. Słowem – w logach mogły się znaleźć w niezaszyfrowanej postaci hasła umożliwiające odszyfrowanie pamięci.

Zalecana aktualizacja do wersji 20.05.2

To oczywiście mogło prowadzić do wycieków hasła, nawet jeśli logi były przechowywane na zaszyfrowanych dyskach. Dobre wieści są takie, że krytyczna podatność została już wyeliminowana w wersji 20.05.2. Ryzyko wykorzystania podatności minimalizuje się za sprawą wspomnianego mechanizmu automatycznej aktualizacji Subiquity, dzięki której problem zostanie zażegnany bez konieczności podejmowania dodatkowych działań przez użytkownika. Podczas instalacji konieczna jest jednak łączność z Internetem.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej