Les membres de la communauté Kernal ont identifié une attitude inhabituellement négligente à l'égard de la sécurité dans la distribution Linuxfx, qui propose une version d'Ubuntu avec l'environnement utilisateur KDE, stylisée comme l'interface Windows 11. Selon les données du site Web du projet, la distribution est utilisée par plus d'un million d'utilisateurs et environ 15 XNUMX téléchargements ont été enregistrés cette semaine. Le kit de distribution propose l'activation de fonctionnalités payantes supplémentaires, qui se fait en saisissant une clé de licence dans une application graphique spéciale.
Une étude de l'application d'activation de licence (/usr/bin/windowsfx-register) a montré qu'elle inclut un identifiant et un mot de passe intégrés pour accéder à un SGBD MySQL externe, dans lequel sont ajoutées les données sur le nouvel utilisateur. Dans ce cas, les informations d'identification utilisées vous permettent d'obtenir un accès complet à la base de données, y compris au tableau « machines », qui affiche des informations sur toutes les installations de la distribution, y compris les adresses IP des utilisateurs. Le contenu du tableau « fxkeys » avec les clés de licence et les adresses e-mail de tous les utilisateurs commerciaux enregistrés est également disponible. Il est à noter que, contrairement aux déclarations concernant un million d'utilisateurs, la base de données ne contient que 20 XNUMX enregistrements. L'application est écrite en Visual Basic et s'exécute à l'aide de l'interpréteur Gambas.
La réaction des développeurs de la distribution mérite une attention particulière. Après avoir publié des informations sur les problèmes de sécurité, ils ont publié une mise à jour dans laquelle ils n'ont pas résolu le problème lui-même, mais ont uniquement modifié le nom de la base de données, le login et le mot de passe, ainsi que la logique d'obtention des informations d'identification et ont tenté de lutter contre le traçage du programme. Au lieu des informations d'identification intégrées à l'application elle-même, les développeurs Linuxfx ont ajouté des paramètres de chargement pour se connecter à la base de données à partir d'un serveur externe à l'aide de l'utilitaire curl. Pour la protection après le lancement, la recherche et la suppression de tous les processus « sudo », « stapbp » et « *-bpfcc » en cours d'exécution dans le système ont été mises en œuvre, apparemment dans l'espoir qu'ils peuvent ainsi interférer avec le fonctionnement des programmes de traçage. .
Source: opennet.ru