Manjaro Linuxの標準インストーラーであるcalamaresに脆弱性があることが報告されました。プロジェクトリーダーである、philmによるforumの投稿 こちら。
calamerasでインストールを行う際、ユーザーパスワードを設定する過程があります。パスワードは/etc/shadow で暗号化されて保存されますが、その暗号化の過程で問題があり、第三者が他人のパスワードを推定することが容易な状況になっている、というものです。
対策としては、インストール終了後にpasswdコマンドでパスワードを再設定することが推奨されています。
なお、今回の脆弱性については、Manjaro 17.0.1 以前のisoファイルが対象であります。