В конце прошлого года разработчики Canonical приняли окончательное решение об отказе от классического Debian-инсталлятора — начиная с релиза 20.04 в Ubuntu Server по умолчанию используется инсталлятор Subiquity, разработкой которого компания занимается уже несколько лет.
Subiquity умеет автоматически обновляться прямо во время установки ОС, если есть активное интернет-подключение. Увы, эта функция пригодилась раньше, чем можно было бы ожидать.
Новый инсталлятор имеет и множество других полезных функций, так что отказ от debian-installer понятен. Впервые Subiquity появился в качестве опции ещё в релизе Ubuntu 17.10, но массовое использование началось только сейчас, что, судя по всему, и позволило найти критический баг, который получил идентификатор CVE 2020-11932.
Суть ошибки очень проста. Если во время установки воспользоваться LUKS для шифрования накопителей, то пароль открытым текстом будет записан в логи инсталлятора и сохранён на диск, причём необязательно зашифрованный, откуда его потом не составит труда извлечь. Исправленная версия Subiquity 20.05.2 уже доступна для всех платформ. Готовятся обновления официальных ISO-образов.