服务器操作系统Ubuntu安装程序现漏洞，是否影响你？

作者/来源：小睿发布时间：2020-05-14

由于容器与云计算技术，Ubuntu Server逐渐流行起来。Ubuntu Server是一个开放源代码平台，功能强大。凭借其作为公司内部服务器与以满足企业级需求的能力，Ubuntu Server操作系统可以完成所有任务。

Ubuntu Server

Ubuntu是一个服务器平台，在其平台上可以做网站、FTP、云服务、数据库服务器、FTP和容器部署等应用场景。Ubuntu Server是一个服务器操作系统，几乎可与所有硬件或虚拟化平台结合使用，并借助云计算强大的功能来扩展企业产品。

Linux为全球37％的网站服务，其中35.9％为Ubuntu。在一定程度上表明可能所使用的站点是由Ubuntu Server驱动。

Ubuntu Server的重要性

在近几年的时间中，云计算已经成为IT行业与用户关注的重点，这对于Ubuntu而言是一个好消息。

因为自基础设施即服务（IaaS）使用以来，Ubuntu已成为在云环境运行这些服务的最大平台之一。Ubuntu Server不仅可以在云环境中正常运行，还可以控制云环境。

接下来是市场上最受欢迎的容器部署平台——Docker。

Ubuntu Server使设置Docker非常容易，这使得任何级别的IT人员都可以部署容器。

因而，在公司和用户越来越依赖云计算的环境下，Ubuntu Server的使用将变得至关重要。对于正在寻找经济高效的服务器解决方案的中小型企业，Ubuntu应该是第一选择。

Ubuntu Server漏洞

而近日，最新版本的Ubuntu Server安装程序出现漏洞，其将密码泄漏到日志文件中。

Ubuntu Server的安装程序是Subiquity，它已经存在了近3年了，但知道上个月发布的Ubuntu 20.04才将其作为默认支持工具，而之前的镜像Debian Installer已经不再适用。

Subiquity

一直以来Subiquity的维护比较粗糙，而如今随着它已变成默认Ubuntu Server安装程序，这就意味着开发者对它的维护将会更加关注。因而，开发者很快就发现了其中的一个严重漏洞。

漏洞

这一漏洞表现为：LUKS 卷的密码会显示在各种输出中，包括：autoinstall-user-data curtin-install-cfg.yaml curtin-install.log installer-journal.txt subiquity-curtin-install.conf。

值得庆幸的是，Subiquity安装程序在安装过程中支持升级安装程序软件。目前，该漏洞已被公开并被标记为CVE 2020-11932，严重程度为紧急，不过，目前开发真已经修复了该漏洞，并且Subiquity本身支持在安装过程中升级安装程序，用户启动后即可以升级该程序。

对于使用Ubuntu Server安装程序的用户，此问题已修复v20.05.2，并且应该在下次通过活动的Internet连接启动安装程序时升级为v20.05.2。