Mae aelodau cymuned Kernal wedi nodi agwedd anarferol o ddiofal at ddiogelwch yn y dosbarthiad Linuxfx, sy'n cynnig adeiladwaith o Ubuntu gyda'r amgylchedd defnyddiwr KDE, wedi'i arddullio fel rhyngwyneb Windows 11. Yn ôl data o wefan y prosiect, defnyddir y dosbarthiad gan mwy na miliwn o ddefnyddwyr, ac mae tua 15 mil o lawrlwythiadau wedi'u recordio yr wythnos hon. Mae'r pecyn dosbarthu yn cynnig actifadu nodweddion taledig ychwanegol, a wneir trwy nodi allwedd trwydded mewn cymhwysiad graffigol arbennig.
Dangosodd astudiaeth o'r cymhwysiad actifadu trwydded (/usr/bin/windowsfx-register) ei fod yn cynnwys mewngofnodi a chyfrinair adeiledig ar gyfer cyrchu DBMS MySQL allanol, y mae data am y defnyddiwr newydd yn cael ei ychwanegu ato. Yn yr achos hwn, mae'r tystlythyrau a ddefnyddir yn caniatáu ichi gael mynediad llawn i'r gronfa ddata, gan gynnwys y tabl “peiriannau”, sy'n dangos gwybodaeth am holl osodiadau'r dosbarthiad, gan gynnwys cyfeiriadau IP defnyddwyr. Mae cynnwys y tabl "fxkeys" gydag allweddi trwydded a chyfeiriadau e-bost yr holl ddefnyddwyr masnachol cofrestredig ar gael hefyd. Mae'n werth nodi, yn wahanol i ddatganiadau am filiwn o ddefnyddwyr, mai dim ond 20 mil o gofnodion sydd yn y gronfa ddata. Mae'r cais wedi'i ysgrifennu yn Visual Basic ac yn rhedeg gan ddefnyddio dehonglydd Gambas.
Mae ymateb y datblygwyr dosbarthu yn haeddu sylw arbennig. Ar ôl cyhoeddi gwybodaeth am broblemau diogelwch, fe wnaethant ryddhau diweddariad lle na wnaethant atgyweirio'r broblem ei hun, ond newid enw'r gronfa ddata, mewngofnodi a chyfrinair yn unig, a hefyd newid y rhesymeg ar gyfer cael tystlythyrau a cheisio brwydro yn erbyn olrhain rhaglenni. Yn lle tystlythyrau sydd wedi'u hymgorffori yn y rhaglen ei hun, ychwanegodd datblygwyr Linuxfx baramedrau llwytho ar gyfer cysylltu â'r gronfa ddata o weinydd allanol gan ddefnyddio'r cyfleustodau curl. Er mwyn diogelu ar ôl lansio, mae chwilio a chael gwared ar yr holl brosesau “sudo”, “stapbp” a “*-bpfcc” yn y system wedi'u rhoi ar waith, yn ôl pob golwg yn y gred y gallant ymyrryd â gweithrediad rhaglenni olrhain. .
Ffynhonnell: opennet.ru