Het lek zit in LUKS (Linux Unified Key Setup), de ingebouwde versleutelingstool van onder andere Debian-based distro's zoals Ubuntu. Ook Fedora lijkt kwetsbaar te zijn voor de hack.
 

Root-shell

De nogal knullige fout werd ontdekt door beveiligingsonderzoeker Hector Marco, die eerder vorig jaar al ontdekte dat je de GRUB2-authenticatie van sommige Linux-versies kon omzeilen door de backspace 28 keer in te drukken. Nu is het mogelijk om de enter-toets 70 seconden non-stop in te drukken om dan een shell te openen waar je root-toegang mee krijgt.
 

Cryptsetup

Het probleem zit in Cryptsetup, een tool waarmee de encryptie op de harde schijf wordt toegepast. Als Cryptsetup meerdere inlogpogingen na elkaar ziet, wordt dat geïnterpreteerd als een traag apparaat, en wordt er een initrd-shell gestart. Die is bedoeld om het systeem te debuggen, maar heeft tegelijkertijd ook root-privileges.
 

Patches

Het is op dit moment nog niet helemaal duidelijk in welke distributies de fout nog zit. initrd is in ieder geval specifiek voor Debian bedoeld, wat betekent dat onder andere het populaire Ubuntu kwetsbaar is. Volgens Marco is echter ook Fedora kwetsbaar voor het lek. In Debian zelf is inmiddels een patch verstuurd, maar voor op Debian gebaseerde distro's is die er nog niet altijd. Zo heeft Canonical nog geen patch uitgebracht voor Ubuntu.