Im Linuxfx-Distribution wurde ein eingebettetes Passwort für den Zugriff auf die Benutzerdatenbank entdeckt.

Die Mitglieder der Kernal-Community haben eine außergewöhnlich nachlässige Haltung zur Sicherheit in der Linuxfx-Distribution festgestellt, die eine Ubuntu-Variante mit einer KDE-Benutzeroberfläche, die an das Design von Windows 11 angelehnt ist, anbietet. Laut den Angaben auf der Projektwebsite nutzen über eine Million Benutzer diese Distribution, und in dieser Woche wurden etwa 15.000 Downloads verzeichnet. Die Distribution bietet die Aktivierung zusätzlicher kostenpflichtiger Funktionen an, die durch die Eingabe eines Lizenzschlüssels in einer speziellen grafischen Anwendung erfolgen.

Eine Untersuchung der Lizenzaktivierungsanwendung (/usr/bin/windowsfx-register) hat ergeben, dass sie über fest codierte Anmeldedaten für den Zugriff auf eine externe MySQL-Datenbank verfügt, in die Daten neuer Benutzer hinzugefügt werden. Dabei ermöglichen die verwendeten Anmeldedaten den vollständigen Zugriff auf die Datenbank, einschließlich der Tabelle "machines", in der Informationen über alle Installationen der Distribution gespeichert sind, einschließlich IP-Adressen Benutzer. Auch der Inhalt der Tabelle „fxkeys“ mit Lizenzschlüsseln und E-Mail-Adressen aller registrierten kommerziellen Benutzer ist verfügbar. Bemerkenswert ist, dass in der Datenbank nur 20.000 Datensätze vorhanden sind, trotz der Behauptungen über eine Million Benutzer. Die Anwendung ist in Visual Basic geschrieben und wird mit dem Gambas-Interpreter ausgeführt.

Die Reaktion der Entwickler der Distribution ist besonders erwähnenswert. Nach der Veröffentlichung von Informationen über Sicherheitsprobleme haben sie ein Update veröffentlicht, in dem sie nicht das Problem selbst behoben haben, sondern lediglich den Datenbanknamen, den Benutzernamen und das Passwort geändert sowie die Logik zur Abfrage von Zugangsdaten angepasst, um Bedenken hinsichtlich der Programmverfolgung auszuräumen. Anstelle von im Anwendungscode eingebetteten Zugangsdaten hat Linuxfx das Laden von Verbindungsparametern zur Datenbank von externen Quellen eingeführt. Server, indem die curl-Utility verwendet wird. Zum Schutz nach dem Start wird die Suche und das Entfernen aller laufenden Prozesse wie „sudo“, „stapbp“ und „*-bpfcc“ im System realisiert, in der Annahme, dass sie so die Arbeit von Überwachungsprogrammen stören können.

Im Linuxfx-Distribution wurde ein eingebettetes Passwort für den Zugriff auf die Benutzerdatenbank entdeckt.


Quelle: opennet.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster