Članovi Kernal zajednice su identifikovali neobično nonšalantan stav prema sigurnosti u distribuciji Linuxfx, koja nudi build Ubuntu-a sa korisničkim okruženjem u stilu Windows 11. Prema web stranici projekta, distribucija ima više od milion korisnika i oko 15 preuzimanja ove sedmice. Distribucijski komplet nudi aktivaciju dodatnih plaćenih funkcija, što se vrši unošenjem licencnog ključa u posebnu grafičku aplikaciju.
Studija aplikacije za aktivaciju licence (/usr/bin/windowsfx-register) pokazala je da ona uključuje ožičenu prijavu i lozinku za pristup eksternom MySQL DBMS, kojem se dodaju podaci o novom korisniku. Istovremeno, korišćeni akreditivi vam omogućavaju da dobijete potpuni pristup bazi podataka, uključujući tabelu „mašine“, koja odražava informacije o svim instalacijama distributivnog kompleta, uključujući korisničke IP adrese. Dostupan je i sadržaj tabele "fxkeys" sa licencnim ključevima i email adresama svih registrovanih komercijalnih korisnika. Važno je napomenuti da, za razliku od tvrdnji milion korisnika, u bazi podataka ima samo 20 zapisa. Aplikacija je napisana u Visual Basicu i radi koristeći Gambas interpreter.
Posebnu pažnju zaslužuje reakcija programera distributivnog kompleta. Nakon objavljivanja informacija o sigurnosnim problemima, objavili su ažuriranje u kojem nisu riješili sam problem, već su samo promijenili naziv baze podataka, login i lozinku, a promijenili su i logiku za dobijanje akreditiva i pokušali se pozabaviti praćenjem programa. Umjesto akreditiva ušivenih u samu aplikaciju, Linuxfx programeri su dodali učitavanje parametara veze baze podataka sa vanjskog servera koristeći uslužni program curl. Radi zaštite nakon pokretanja, implementirana je pretraga i uklanjanje svih pokrenutih "sudo", "stapbp" i "*-bpfcc" procesa u sistemu, očigledno vjerujući da na taj način mogu ometati rad programa za praćenje.
izvor: opennet.ru