Si vous activiez le chiffrement du stockage, la phrase de passe utilisée pour LUKS était enregistré en clair dans les logs. Une faille plutôt problématique, surtout pour un outil destiné aux entreprises.
Déclarée sous la référence CVE-2020-11932, elle est désormais corrigée, un patch étant disponible. Lorsque vous passez par la procédure d'installation « live », il sera appliqué automatiquement.
Commentaires (13)
#1
Dans quels logs ? Ils sont conservés après la fin de l’installation ou supprimés ?
#2
dans /var/log/installer/
omg
#3
Oh que oui ils sont conservés
#4
#5
A priori les logs déjà présents ne sont pas modifiés.
De toutes façons, le principe de précaution impose d’y passer un coup de lance-flamme préventif (et s’il ya vraiment besoin de les garder pour une raison X ou Y, chercher le mot de passe et y passer un coup de scalpel)
#6
Dans un fichier accessible seulement après avoir tapé le mot de passe pour déchiffrer le disque ? " />
Bon c’est clair qu’en soit un mot de passe tapé en interractif n’a rien à foutre dans un log. J’espère que ce bug n’existe pas sur Debian…
#7
Associé a une autre petite faille qui permet un accès distant donc sur un disque déjà déchiffré ca peut être dramatique.
#8
#9
#10
Ubuntu… What else ? " />
#11
Bah vu que c’est nous le root qui avons chiffré la machine, je vois plus ça comme un nouveau keepass… " />
Nan! j’déconne. " />
Du Ubuntu quoi !
Euh, chiffrer un serveur, c’est pas un truc de con à surtout ne pas faire ?
Je dis ça, je dis rien, mais quand on reboot le bousin, kicéki va taper le mdp luks hein ? " />
On n’a pas tous des iDrac activées sur nos matos, et dégainer la console VMware juste pour ça, spa très pratique… " />
#12
Ce qui est marrant, c’est que je crois me souvenir que les premières Ubuntu avaient un pb similaire avec le mot de passe root à l’installation.
Il se retrouvait dans la log d’install. Mais ce n’est pas du vécu, à l’époque je crois que j’étais encore sur Mandriva. Depuis, même pas peur, je suis passé sur Kubuntu (donc Ubuntu).
#13
Oui, changer les clés est une bonne idée. Si le problème ne touche que Ubuntu Server, version que j’imagine beaucoup installé sur des VMs, le snapshot qui va bien s’impose :)