Ang mga miyembro sa komunidad sa Kernal nakaila sa usa ka talagsaon nga walay pagtagad nga kinaiya sa seguridad sa Linuxfx distribution, nga nagtanyag sa usa ka build sa Ubuntu uban sa KDE user environment, stylized as the Windows 11 interface. Sumala sa datos gikan sa project website, ang distribution gigamit sa labaw sa usa ka milyon nga tiggamit, ug mga 15 ka libo nga mga pag-download ang natala karong semanaha. Ang distribution kit nagtanyag sa pagpaaktibo sa dugang nga bayad nga mga bahin, nga gihimo pinaagi sa pagsulod sa usa ka yawe sa lisensya sa usa ka espesyal nga graphical nga aplikasyon.
Ang usa ka pagtuon sa aplikasyon sa pagpaaktibo sa lisensya (/usr/bin/windowsfx-register) nagpakita nga kini naglakip sa usa ka built-in nga login ug password alang sa pag-access sa usa ka eksternal nga MySQL DBMS, diin ang datos mahitungod sa bag-ong user gidugang. Sa kini nga kaso, ang mga kredensyal nga gigamit nagtugot kanimo nga makakuha og bug-os nga pag-access sa database, lakip ang lamesa sa "mga makina", nga nagpakita sa kasayuran bahin sa tanan nga mga pag-install sa pag-apod-apod, lakip ang mga adres sa IP sa gumagamit. Ang mga sulod sa "fxkeys" nga lamesa nga adunay mga yawe sa lisensya ug mga adres sa email sa tanang mga rehistradong komersyal nga tiggamit anaa usab. Mamatikdan nga, sukwahi sa mga pahayag bahin sa usa ka milyon nga tiggamit, adunay 20 ka libo lamang nga mga rekord sa database. Ang aplikasyon gisulat sa Visual Basic ug gipadagan gamit ang Gambas interpreter.
Ang reaksyon sa mga developers sa pag-apod-apod angay nga espesyal nga atensyon. Pagkahuman sa pagmantala sa kasayuran bahin sa mga problema sa seguridad, gipagawas nila ang usa ka update diin wala nila giayo ang problema mismo, apan gibag-o ra ang ngalan sa database, pag-login ug password, ug giusab usab ang lohika alang sa pagkuha sa mga kredensyal ug gisulayan nga makigbatok sa pagsubay sa programa. Imbis nga mga kredensyal nga gitukod sa aplikasyon mismo, ang mga developer sa Linuxfx nagdugang mga parameter sa pag-load alang sa pagkonekta sa database gikan sa usa ka eksternal nga server gamit ang curl utility. Alang sa proteksyon sa post-launch, ang pagpangita ug pagtangtang sa tanan nga nagdagan nga "sudo", "stapbp" ug "*-bpfcc" nga mga proseso sa sistema gipatuman, dayag sa pagtuo nga sa niini nga paagi sila makabalda sa operasyon sa pagsubay sa mga programa. .
Source: opennet.ru