Um problema grave e inesperado ocorreu com o Ubuntu Server 20.04 LTS que foi lançado recentemente. Um problema de segurança afetou o instalador Subiquity do Ubuntu Server que vazava senhas criptografadas. Felizmente, o problema já foi resolvido. Para quem não sabe, o Ubuntu Server usa exclusivamente o instalador “Subiquity” em que a Canonical vem trabalhando nos últimos anos, descartando, assim, o clássico Debian Installer.
Como o Instalador do Ubuntu Server vazava senhas criptografadas
A sorte é que o instalador Subiquity oferece suporte à atualização do software durante o processo de instalação. O problema CVE-2020-11932 agora é público e foi considerado um erro crítico. A Subiquity registrava as senhas do volume criptografado LUKS por meio do log de instalação e, por sua vez, copiava a senha no disco, não necessariamente dentro do volume criptografado, que poderia ser facilmente lido ou vazado a partir dali.
Problema resolvido
Para aqueles que usam o instalador do Ubuntu Server, o problema foi corrigido na v20.05.2 e deve ser promovido para atualização na próxima inicialização do instalador com uma conexão ativa com a Internet.
Sobre a mudança do instalador
Introduzido no Ubuntu Server 17.10 e aprimorado desde então, o “Subiquity” é uma nova opção de instalação do Ubuntu Server, em vez de seu instalador clássico derivado do Debian. Portanto, com a estreia do Ubuntu 20.04 LTS, eles abandonaram a opção baseada no Instalador Debian e se concentraram apenas na sua moderna opção de instalador de servidor “Subiquity”. Sendo assim, o Ubuntu Server 20.04 LTS aposentou o antigo instalador Debian.
Michael Hudson Doyle, da Canonical, apresentou seus planos para o instalador do servidor para o Ubuntu 20.04 LTS.
Portanto, o instalador do servidor adiciona suporte à instalação automática para instalações automatizadas e autônomas. Além disso, tem:
- uma opção de instalação resiliente;
- suporte ao SSH em uma sessão do instalador;
- e suporte à tabela de partição VTOC para IBM s390x.