CVE-2020-11932

Subiquity server installer logged LUKS full disk encryption password

CVSS 2.3 LOWEPSS 0.6%CWE-532

En resumen

El instalador Subiquity de Ubuntu Server registraba accidentalmente la contraseña de criptografía de disco LUKS en sus archivos de registro. Esto significaba que la contraseña podría quedar expuesta si alguien accedía a esos registros, comprometiendo la seguridad del disco cifrado.

Detalle técnico

Vulnerabilidad CWE-532 (Inserción de Información Sensible en Archivo de Registro) donde las contraseñas de criptografía de disco LUKS completo ingresadas durante la instalación se escribían en archivos de registro en texto plano. Un atacante con acceso de lectura a los registros del instalador podría extraer la contraseña, eludiendo las protecciones de criptografía de disco. La vulnerabilidad requiere que el usuario configure criptografía LUKS durante la instalación.

Resumen generado y traducido por IA a partir de la descripción oficial.

It was discovered that the Subiquity installer for Ubuntu Server logged the LUKS full disk encryption password if one was entered.

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N

Productos afectados

Canonical · Subiquity

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://aliceandbob.company/the-human-factor-in-an-economy-of-scale/https://github.com/CanonicalLtd/subiquity/commit/7db70650feaf513d7fb6f1ca07f2d670a0890613