Meðlimir Kernal samfélagsins hafa greint óvenjulega kæruleysislega afstöðu til öryggis í Linuxfx dreifingunni, sem býður upp á smíði Ubuntu með KDE notendaumhverfi, stílfært sem Windows 11 viðmótið. Samkvæmt gögnum af vefsíðu verkefnisins er dreifingin notuð af meira en milljón notendur og um 15 þúsund niðurhal hafa verið skráð í vikunni. Dreifingin býður upp á virkjun á viðbótar greiddum eiginleikum, sem er gert með því að slá inn leyfislykil í sérstöku grafísku forriti.
Rannsókn á leyfisvirkjunarforritinu (/usr/bin/windowsfx-register) sýndi að það inniheldur innbyggt notandanafn og lykilorð til að fá aðgang að ytri MySQL DBMS, sem gögnum um nýja notandann er bætt inn í. Í þessu tilviki leyfa persónuskilríkin sem notuð eru þér að fá fullan aðgang að gagnagrunninum, þar með talið „vélar“ töflunni, sem sýnir upplýsingar um allar uppsetningar dreifingarinnar, þar með talið IP tölur notenda. Innihald „fxkeys“ töflunnar með leyfislyklum og netföngum allra skráðra viðskiptanotenda er einnig tiltækt. Það er athyglisvert að öfugt við staðhæfingar um milljón notendur eru aðeins 20 þúsund færslur í gagnagrunninum. Forritið er skrifað í Visual Basic og keyrir með Gambas túlknum.
Viðbrögð dreifingarframleiðenda verðskulda sérstaka athygli. Eftir að hafa birt upplýsingar um öryggisvandamál gáfu þeir út uppfærslu þar sem þeir laguðu ekki vandamálið sjálft, heldur breyttu aðeins nafni gagnagrunns, notandanafni og lykilorði, og breyttu einnig rökfræði til að fá skilríki og reyndu að berjast gegn rekja forritum. Í stað þess að skilríki innbyggð í forritið sjálft, bættu Linuxfx forritararnir við hleðslubreytum til að tengjast gagnagrunninum frá ytri netþjóni með því að nota krulluforritið. Til að vernda eftir ræsingu hefur leit og fjarlæging á öllum keyrandi „sudo“, „stapbp“ og „*-bpfcc“ ferlum í kerfinu verið innleidd, að því er virðist í þeirri trú að á þennan hátt geti þau truflað rekstur rekjaforrita. .
Heimild: opennet.ru