ProHoster > Blogi > netin uutisia > Kriittinen haavoittuvuus Librem One -palvelussa, joka tunnistettiin sen julkaisupäivänä
Kriittinen haavoittuvuus Librem One -palvelussa, joka tunnistettiin sen julkaisupäivänä
Librem One -palvelussa, joka on tarkoitettu käytettäväksi älypuhelimella Librem 5, Heti jälkeen käynnistää nousi pintaan kriittinen ongelma turvallisuudella, joka häpäisee projektin, jota mainostetaan turvallisena tietosuojaalustana. Haavoittuvuus löydettiin Librem Chat -palvelusta, ja se mahdollisti pääsyn chatiin kenenä tahansa käyttäjänä tuntematta todennusparametreja.
Käytetyssä taustakoodissa sallittiin valtuutus LDAP:n (matrix-appservice-ldap3) kautta Matrix-verkolle virhe, joka osoittautui siirtyneen Librem One -työpalvelun koodiin. Rivin "result, _ = tuotto self._ldap_simple_bind" sijaan määritettiin "result = tuotto self._ldap_simple_bind", mikä salli kuka tahansa ilman lupaa osallistua keskusteluun millä tahansa tunnisteella. Matrix-projektin kehittäjät tekivät virheen vaatimusettä ongelma esiintyi vain päähaarassa "matrix-appservice-ldap3", eikä julkaisuissa, mutta arkistossa oli ongelmallinen rivi esittää vuodesta 2016 lähtien (ehkä ongelman toimintaedellytykset syntyivät vasta muutamien viimeaikaisten muutosten jälkeen).
Äskettäin lanseerattu Librem One -palvelusarja sisältää maksullisen tilauksen (7.99 dollaria kuukaudessa tai 71.91 dollaria vuodessa), mutta mobiiliasiakkaat ja palvelinprosessorit perustuvat olemassa oleviin avoimiin projekteihin, jotka nimetty uudelleen jakeluun Librem-tuotemerkin alla. Esimerkiksi Librem Chat on uudelleennimetty Matrix-asiakas MellakkaLibrem Social perustuu tusky, Librem Mail nimettiin uudelleen K-9, Librem Tunnel on lainattu Ics-openvpn. Palvelimen komponentit perustuvat
Postfix ja Dovecot Librem Mailille, Matriisi Librem Chatille ja Mastodontti joukkueelle Librem Social. Syynä sovellusten toimittamiseen muilla nimillä on halu koota erilaisia avoimiin standardeihin perustuvia hajautettuja palveluita (Matrix, ActivityPub, IMAP) yhden tunnistettavan brändin alle.