Zumindest bis zur Version 1.157.4-1 hat live-initramfs einen Bug, der es dazu bringt, jede Klartext-Swap-Partition zu benutzen, die auf lokalen Festplatten gefunden wird.

Auswirkungen

Jede Art von Information über die Aktivitäten des Benutzers kann auf den lokalen Festplatten der Computer gespeichert werden, die mit den betroffenen Amnesie-Systemen verwendet werden.

Minderung der Auswirkungen vergangener Ereignisse

Es wird empfohlen, jede unverschlüsselte Linux-Swap-Partition, die auf Computern vorhanden ist, die mit betroffenen Amnesiesystemen verwendet wurden, sicher zu löschen, indem Sie ein Programm wie shred verwenden.

Lösung

Wir haben dieses Sicherheitsproblem am 06.10.2009 (Commit 00c1ff633e8958d0233) behoben, indem wir ein benutzerdefiniertes, korrigiertes live-initramfs-Paket in die erstellten Images installiert haben.

Der relevante Patch wurde dann in das Git des Upstreams integriert.

Betroffene Versionen

Die Versionen 0.2-20090815 und 0.2-20090816 sind betroffen, ebenso wie jedes benutzerdefinierte Image, das vor dem Commit 00c1ff633e8958d0233 aus Git erstellt wurde.