કર્નલ સમુદાયના સભ્યોએ Linuxfx વિતરણમાં સુરક્ષા પ્રત્યે અસામાન્ય રીતે બેદરકાર વલણને ઓળખી કાઢ્યું છે, જે KDE વપરાશકર્તા પર્યાવરણ સાથે ઉબુન્ટુનું બિલ્ડ ઓફર કરે છે, જે વિન્ડોઝ 11 ઈન્ટરફેસ તરીકે શૈલીયુક્ત છે. પ્રોજેક્ટ વેબસાઈટના ડેટા અનુસાર, વિતરણનો ઉપયોગ આ અઠવાડિયે એક મિલિયનથી વધુ વપરાશકર્તાઓ અને લગભગ 15 હજાર ડાઉનલોડ્સ રેકોર્ડ કરવામાં આવ્યા છે. ડિસ્ટ્રિબ્યુશન કિટ વધારાની પેઇડ સુવિધાઓના સક્રિયકરણની ઓફર કરે છે, જે વિશિષ્ટ ગ્રાફિકલ એપ્લિકેશનમાં લાઇસન્સ કી દાખલ કરીને કરવામાં આવે છે.
લાઇસન્સ એક્ટિવેશન એપ્લિકેશન (/usr/bin/windowsfx-register) ના અભ્યાસમાં દર્શાવવામાં આવ્યું છે કે તેમાં બાહ્ય MySQL DBMS ને ઍક્સેસ કરવા માટે બિલ્ટ-ઇન લોગિન અને પાસવર્ડનો સમાવેશ થાય છે, જેમાં નવા વપરાશકર્તા વિશેનો ડેટા ઉમેરવામાં આવે છે. આ કિસ્સામાં, વપરાયેલ ઓળખપત્રો તમને ડેટાબેઝની સંપૂર્ણ ઍક્સેસ મેળવવાની મંજૂરી આપે છે, જેમાં "મશીનો" કોષ્ટકનો સમાવેશ થાય છે, જે વપરાશકર્તા IP સરનામાઓ સહિત વિતરણના તમામ ઇન્સ્ટોલેશન વિશેની માહિતી દર્શાવે છે. લાયસન્સ કી સાથે "fxkeys" કોષ્ટકની સામગ્રીઓ અને તમામ નોંધાયેલા વ્યાવસાયિક વપરાશકર્તાઓના ઇમેઇલ સરનામાં પણ ઉપલબ્ધ છે. નોંધનીય છે કે, લગભગ એક મિલિયન વપરાશકર્તાઓના નિવેદનોથી વિપરીત, ડેટાબેઝમાં ફક્ત 20 હજાર રેકોર્ડ્સ છે. એપ્લિકેશન વિઝ્યુઅલ બેઝિકમાં લખાયેલ છે અને ગેમ્બાસ ઈન્ટરપ્રીટરનો ઉપયોગ કરીને ચાલે છે.
વિતરણ વિકાસકર્તાઓની પ્રતિક્રિયા વિશેષ ધ્યાન આપવાની પાત્ર છે. સુરક્ષા સમસ્યાઓ વિશેની માહિતી પ્રકાશિત કર્યા પછી, તેઓએ એક અપડેટ બહાર પાડ્યું જેમાં તેઓએ સમસ્યાને ઠીક કરી ન હતી, પરંતુ માત્ર ડેટાબેઝનું નામ, લોગિન અને પાસવર્ડ બદલ્યો હતો, અને ઓળખપત્ર મેળવવા માટેનો તર્ક પણ બદલ્યો હતો અને પ્રોગ્રામ ટ્રેસિંગનો સામનો કરવાનો પ્રયાસ કર્યો હતો. એપ્લિકેશનમાં જ બનાવેલ ઓળખપત્રોને બદલે, Linuxfx વિકાસકર્તાઓએ કર્લ ઉપયોગિતાનો ઉપયોગ કરીને બાહ્ય સર્વરથી ડેટાબેઝ સાથે કનેક્ટ કરવા માટે લોડિંગ પરિમાણો ઉમેર્યા. પ્રક્ષેપણ પછીની સુરક્ષા માટે, સિસ્ટમમાં ચાલતી તમામ “sudo”, “stapbp” અને “*-bpfcc” પ્રક્રિયાઓને શોધવા અને દૂર કરવા લાગુ કરવામાં આવી છે, દેખીતી રીતે એવું માનવામાં આવે છે કે આ રીતે તેઓ ટ્રેસિંગ પ્રોગ્રામના સંચાલનમાં દખલ કરી શકે છે. .
સોર્સ: opennet.ru