Kernal コミュニティのメンバーは、Windows 11 インターフェイスとして様式化された KDE ユーザー環境を備えた Ubuntu のビルドを提供する Linuxfx ディストリビューションのセキュリティに対する異常な不注意な態度を特定しました。プロジェクト Web サイトのデータによると、このディストリビューションは次のユーザーによって使用されています。今週はユーザー数が 15 万人を超え、約 XNUMX 件のダウンロードが記録されました。配布キットでは、特別なグラフィカル アプリケーションにライセンス キーを入力することで追加の有料機能をアクティブ化できます。
ライセンス アクティベーション アプリケーション (/usr/bin/windowsfx-register) を調査したところ、外部 MySQL DBMS にアクセスするためのログインとパスワードが組み込まれており、そこに新しいユーザーに関するデータが追加されていることがわかりました。この場合、使用される認証情報により、ユーザー IP アドレスを含むディストリビューションのすべてのインストールに関する情報を表示する「マシン」テーブルを含むデータベースへの完全なアクセスが可能になります。すべての登録商用ユーザーのライセンス キーと電子メール アドレスを含む「fxkeys」テーブルの内容も入手できます。ユーザー数 20 万人についての記述とは対照的に、データベースには XNUMX 万件のレコードしかないことは注目に値します。アプリケーションは Visual Basic で書かれており、Gambas インタープリターを使用して実行されます。
ディストリビューション開発者の反応は特に注目に値します。セキュリティ問題に関する情報を公開した後、問題自体は修正されず、データベース名、ログイン名、パスワードのみが変更され、資格情報を取得するロジックも変更され、プログラム トレースに対抗するアップデートがリリースされました。 Linuxfx 開発者は、アプリケーション自体に資格情報を組み込む代わりに、curl ユーティリティを使用して外部サーバーからデータベースに接続するための読み込みパラメーターを追加しました。起動後の保護のために、システム内で実行中のすべての「sudo」、「stapbp」、および「*-bpfcc」プロセスの検索と削除が実装されました。これは明らかに、この方法でトレース プログラムの動作に干渉する可能性があると考えられたためです。 。
出所: オープンネット.ru