Удзельнікі супольнасці Kernal выявілі незвычайна бестурботнае стаўленне да бяспекі ў дыстрыбутыве Linuxfx, які прапануе зборку Ubuntu з карыстацкім асяроддзем KDE, стылізаваным пад інтэрфейс Windows 11. Па дадзеных з сайта праекта дыстрыбутывам карыстаецца больш за мільён карыстачоў, а за гэты тыдзень зафіксавана каля 15 тысяч. Дыстрыбутыў прапануе актывацыю дадатковых платных магчымасцяў, якая вырабляецца праз увядзенне ліцэнзійнага ключа ў спецыяльным графічным дадатку.
Даследаванне прыкладання для актывацыі ліцэнзіі (/usr/bin/windowsfx-register) паказала, што яно ўключае ў сябе зашытыя лагін і пароль для звароту да знешняй СКБД MySQL, у якую дадаюцца дадзеныя аб новым карыстальніку. Пры гэтым выкарыстоўваныя ўліковыя дадзеныя дазваляюць атрымаць поўны доступ да БД, у тым ліку да табліцы "machines" у якой адлюстраваны звесткі аб усіх усталёўках дыстрыбутыва, уключаючы IP-адрасы карыстачоў. Даступна таксама змесціва табліцы "fxkeys" з ліцэнзійнымі ключамі і адрасамі электроннай пошты ўсіх зарэгістраваных камерцыйных карыстальнікаў. Характэрна, што ў адрозненне ад заяў аб мільёне карыстальнікаў, у БД ёсць толькі 20 тысяч запісаў. Прыкладанне напісана на мове Visual Basic і выконваецца з выкарыстаннем інтэрпрэтатара Gambas.
Асобнай увагі заслугоўвае рэакцыя распрацоўшчыкаў дыстрыбутыва. Пасля публікацыі звестак аб праблемах з бяспекай яны выпусцілі абнаўленне, у якім не ўхілілі саму праблему, а толькі памянялі імя БД, лагін і пароль, а таксама змянілі логіку атрымання уліковых дадзеных і паспрабавалі змагацца з трасіроўкай праграмы. Замест ушытыя ў само дадатак уліковых дадзеных, распрацоўнікі Linuxfx дадалі загрузку параметраў падлучэння да БД з вонкавага сервера, выкарыстаючы ўтыліту curl. Для абароны пасля запуску рэалізаваны пошук і выдаленне ўсіх запушчаных працэсаў "sudo", "stapbp" і "*-bpfcc" у сістэме, мабыць, мяркуючы, што такім чынам яны змогуць перашкодзіць працы праграм для трасіроўкі.
Крыніца: opennet.ru