A Kernal közösség tagjai szokatlanul hanyag hozzáállást észleltek a biztonsághoz a Linuxfx disztribúcióban, amely Ubuntut kínál a KDE felhasználói környezettel, stilizáltan Windows 11 felületként. A projekt weboldalának adatai szerint a disztribúciót a több mint egymillió felhasználó, és mintegy 15 ezer letöltést rögzítettek ezen a héten. A disztribúció további fizetős funkciók aktiválását kínálja, ami egy speciális grafikus alkalmazásban a licenckulcs megadásával történik.
A licencaktiváló alkalmazás (/usr/bin/windowsfx-register) tanulmányozása kimutatta, hogy beépített bejelentkezési nevet és jelszót tartalmaz egy külső MySQL DBMS eléréséhez, amelybe az új felhasználó adatait adják hozzá. Ebben az esetben a használt hitelesítő adatok lehetővé teszik, hogy teljes hozzáférést kapjon az adatbázishoz, beleértve a „gépek” táblázatot is, amely információkat jelenít meg a terjesztés összes telepítéséről, beleértve a felhasználói IP-címeket is. Az "fxkeys" tábla tartalma az összes regisztrált kereskedelmi felhasználó licenckulcsával és e-mail címével szintén elérhető. Figyelemre méltó, hogy az egymillió felhasználóról szóló állításokkal ellentétben mindössze 20 ezer rekord van az adatbázisban. Az alkalmazás Visual Basic nyelven íródott, és a Gambas interpreter használatával fut.
Külön figyelmet érdemel a disztribúció fejlesztőinek reakciója. A biztonsági problémákkal kapcsolatos információk közzététele után kiadtak egy frissítést, amelyben magát a problémát nem oldották meg, csak az adatbázis nevét, bejelentkezési nevét és jelszavát változtatták meg, valamint megváltoztatták a hitelesítő adatok megszerzésének logikáját és megpróbálták felvenni a harcot a programkövetés ellen. Magába az alkalmazásba épített hitelesítő adatok helyett a Linuxfx fejlesztői betöltési paramétereket adtak hozzá az adatbázishoz külső szerverről történő csatlakozáshoz a curl segédprogrammal. Az indítás utáni védelem érdekében a rendszerben futó „sudo”, „stapbp” és „*-bpfcc” folyamatok keresése és eltávolítása megtörtént, nyilván abban a hitben, hogy így zavarhatják a nyomkövető programok működését. .
Forrás: opennet.ru