Cloud-init是一款用于云平臺的虛擬機初始化工具。3月20日,Debian發布了安全更新,修復了Cloud-init中發現的信息泄露漏洞。以下是漏洞詳情：

漏洞詳情

來源：https://www.debian.org/lts/security/2021/dla-2601

CVE-2021-3429 嚴重程度: 重要

cloud-init能夠為系統用戶生成并設置隨機密碼。通過傳遞諸如以下內容的云配置數據，可以在運行時啟用此功能：

chpasswd：列表：| user1：RANDOM

當以這種方式使用時，cloud-init會將原始的、未加密的密碼記錄到一個全球可讀的本地文件中，directadmin授權，從而造成重要信息泄露。

受影響產品及版本

上述漏洞影響Debian9 Stretch 0.7.9-2 + deb9u1之前版本

解決方案

對于Debian 9 Stretch，香港服務器，此問題已在版本0.7.9-2 + deb9u1中得到解決,建議及時更新cloud-init軟件包。