Membroj de la komunumo Kernal identigis nekutime senzorgan sintenon al sekureco en la distribuo Linuxfx, kiu ofertas konstruon de Ubuntu kun la uzantmedio de KDE, stiligita kiel la Vindoza 11-interfaco. Laŭ datumoj de la retejo de la projekto, la distribuo estas uzata de pli ol miliono da uzantoj, kaj ĉirkaŭ 15 mil elŝutoj estis registritaj ĉi-semajne. La distribua kompleto ofertas aktivigon de pliaj pagitaj funkcioj, kiu estas farita per enigo de permesila ŝlosilo en speciala grafika aplikaĵo.
Studo de la licenca aktiviga aplikaĵo (/usr/bin/windowsfx-register) montris, ke ĝi inkluzivas enkonstruitan ensaluton kaj pasvorton por aliri eksteran MySQL-DBMS, en kiu estas aldonitaj datumoj pri la nova uzanto. En ĉi tiu kazo, la akreditaĵoj uzitaj permesas vin akiri plenan aliron al la datumbazo, inkluzive de la "maŝinoj" tabelo, kiu montras informojn pri ĉiuj instalaĵoj de la distribuo, inkluzive de uzantaj IP-adresoj. La enhavo de la tabelo "fxkeys" kun permesilaj ŝlosiloj kaj retadresoj de ĉiuj registritaj komercaj uzantoj ankaŭ estas haveblaj. Estas rimarkinde, ke, kontraste al deklaroj pri miliono da uzantoj, estas nur 20 mil registroj en la datumbazo. La aplikaĵo estas skribita en Visual Basic kaj funkcias per la Gambas-interpretilo.
La reago de la distribuaj programistoj meritas specialan atenton. Post publikigado de informoj pri sekurecaj problemoj, ili publikigis ĝisdatigon, en kiu ili ne riparis la problemon mem, sed nur ŝanĝis la datumbazan nomon, ensaluton kaj pasvorton, kaj ankaŭ ŝanĝis la logikon por akiri akreditaĵojn kaj provis batali program-spuradon. Anstataŭ akreditaĵoj enkonstruitaj en la aplikaĵo mem, la programistoj de Linuxfx aldonis ŝarĝajn parametrojn por konekti al la datumbazo de ekstera servilo uzante la buklan ilon. Por post-lanĉa protekto, serĉado kaj forigo de ĉiuj kurantaj "sudo", "stapbp" kaj "*-bpfcc" procezoj en la sistemo estis efektivigita, ŝajne en la kredo, ke tiamaniere ili povas malhelpi la funkciadon de spuraj programoj. .
fonto: opennet.ru