Mitglieder der Kernal-Community haben einen ungewöhnlich nachlässigen Umgang mit der Sicherheit in der Linuxfx-Distribution festgestellt, die eine Version von Ubuntu mit der KDE-Benutzerumgebung bietet, stilisiert als Windows 11-Schnittstelle. Nach Angaben der Projektwebsite wird die Distribution von verwendet Diese Woche wurden mehr als eine Million Benutzer und etwa 15 Downloads verzeichnet. Die Distribution bietet die Aktivierung zusätzlicher kostenpflichtiger Funktionen, die durch Eingabe eines Lizenzschlüssels in einer speziellen grafischen Anwendung erfolgt.
Eine Untersuchung der Lizenzaktivierungsanwendung (/usr/bin/windowsfx-register) ergab, dass sie einen integrierten Login und ein Passwort für den Zugriff auf ein externes MySQL-DBMS enthält, in das Daten über den neuen Benutzer hinzugefügt werden. In diesem Fall ermöglichen Ihnen die verwendeten Anmeldeinformationen den vollständigen Zugriff auf die Datenbank, einschließlich der Tabelle „Maschinen“, in der Informationen zu allen Installationen der Distribution angezeigt werden, einschließlich der IP-Adressen der Benutzer. Der Inhalt der Tabelle „fxkeys“ mit Lizenzschlüsseln und E-Mail-Adressen aller registrierten kommerziellen Nutzer ist ebenfalls verfügbar. Bemerkenswert ist, dass im Gegensatz zu Aussagen über eine Million Nutzer nur 20 Datensätze in der Datenbank vorhanden sind. Die Anwendung ist in Visual Basic geschrieben und wird mit dem Gambas-Interpreter ausgeführt.
Besondere Aufmerksamkeit verdient die Reaktion der Distributionsentwickler. Nachdem sie Informationen über Sicherheitsprobleme veröffentlicht hatten, veröffentlichten sie ein Update, in dem sie nicht das Problem selbst behoben, sondern nur den Datenbanknamen, den Benutzernamen und das Passwort änderten, außerdem die Logik zum Erhalten von Anmeldeinformationen änderten und versuchten, die Programmverfolgung zu bekämpfen. Anstelle von in die Anwendung selbst integrierten Anmeldeinformationen haben die Linuxfx-Entwickler Ladeparameter für die Verbindung zur Datenbank von einem externen Server mithilfe des Curl-Dienstprogramms hinzugefügt. Zum Schutz nach dem Start wurde die Suche und Entfernung aller laufenden „sudo“, „stapbp“ und „*-bpfcc“-Prozesse im System implementiert, offenbar in der Annahme, dass sie auf diese Weise den Betrieb von Tracing-Programmen beeinträchtigen können .
Source: opennet.ru