スマートフォンでの利用を目的としたLibrem Oneサービスにおいて 、 直後の 浮上した 安全なプライバシー プラットフォームとして宣伝されているプロジェクトの信用を落とすセキュリティを備えています。 この脆弱性はLibrem Chatサービスで発見され、認証パラメータを知らなくても任意のユーザーとしてチャットに入ることが可能でした。
使用されたバックエンド コードでは、Matrix ネットワークに対する LDAP (matrix-appservice-ldap3) 経由の認可が許可されていました。 、Librem Oneの動作サービスのコードに転送されることが判明しました。 「result, _ = yield self._ldap_simple_bind」という行の代わりに、「result = yield self._ldap_simple_bind」が指定されました。これにより、権限のないユーザーは任意の識別子でチャットに参加できるようになります。 マトリックスプロジェクトの開発者は間違いを犯した 問題はマスター ブランチ「matrix-appservice-ldap3」でのみ発生し、リリースでは発生しませんでしたが、リポジトリに問題のある行がありました。 2016 年以降 (おそらく、問題が発生する条件は、最近のその他の変更の後にのみ発生しました)。
新しく開始されたLibrem Oneサービスセットは、有料サブスクリプション(月額7.99ドルまたは年間71.91ドル)を意味しますが、モバイルクライアントとサーバープロセッサは、以前の既存のオープンプロジェクトに基づいています。 リブレムブランドで販売。 たとえば、Librem Chat は、Matrix クライアントの名前が変更されました。 リブレムソーシャルは以下に基づいています 、Librem Mail から名前が変更されました 、リブレムトンネルをお借りしました。 。 サーバーコンポーネントは以下に基づいています
Librem Mail の Postfix と Dovecot、 リブレムチャットと リブレムソーシャルの場合。 アプリケーションを別の名前で配信する理由は、オープン スタンダード (Matrix、ActivityPub、IMAP) に基づくさまざまな分散サービスを XNUMX つの認識可能なブランドの下に集めたいという要望からです。
出所: オープンネット.ru