Lede van die Kernal-gemeenskap het 'n buitengewoon onverskillige houding teenoor sekuriteit in die Linuxfx-verspreiding geïdentifiseer, wat 'n bou van Ubuntu bied met die KDE-gebruikersomgewing, gestileer as die Windows 11-koppelvlak. Volgens data van die projekwebwerf word die verspreiding gebruik deur meer as 'n miljoen gebruikers, en ongeveer 15 duisend aflaaie is hierdie week aangeteken. Die verspreidingskit bied aktivering van bykomende betaalde kenmerke, wat gedoen word deur 'n lisensiesleutel in 'n spesiale grafiese toepassing in te voer.
'n Studie van die lisensie-aktiveringstoepassing (/usr/bin/windowsfx-register) het getoon dat dit 'n ingeboude login en wagwoord insluit vir toegang tot 'n eksterne MySQL DBMS, waarin data oor die nuwe gebruiker bygevoeg word. In hierdie geval laat die geloofsbriewe wat gebruik word jou toe om volle toegang tot die databasis te verkry, insluitend die "masjiene"-tabel, wat inligting oor alle installasies van die verspreiding vertoon, insluitend gebruikers IP-adresse. Die inhoud van die "fxkeys"-tabel met lisensiesleutels en e-posadresse van alle geregistreerde kommersiële gebruikers is ook beskikbaar. Dit is opmerklik dat, in teenstelling met stellings oor 'n miljoen gebruikers, daar slegs 20 duisend rekords in die databasis is. Die toepassing is in Visual Basic geskryf en loop met behulp van die Gambas-tolk.
Die reaksie van die verspreidingsontwikkelaars verdien spesiale aandag. Nadat hulle inligting oor sekuriteitsprobleme gepubliseer het, het hulle 'n opdatering vrygestel waarin hulle nie die probleem self reggemaak het nie, maar slegs die databasisnaam, login en wagwoord verander het, en ook die logika vir die verkryging van geloofsbriewe verander het en probeer om programopsporing te bekamp. In plaas van geloofsbriewe wat in die toepassing self ingebou is, het die Linuxfx-ontwikkelaars laaiparameters bygevoeg om aan die databasis te koppel vanaf 'n eksterne bediener met behulp van die krulhulpmiddel. Vir na-bekendstelling beskerming, is soek en verwydering van alle lopende "sudo", "stapbp" en "*-bpfcc" prosesse in die stelsel geïmplementeer, blykbaar in die oortuiging dat dit op hierdie manier kan inmeng met die werking van opsporingsprogramme .
Bron: opennet.ru