Kernal қауымдастығының мүшелері Windows 11 интерфейсі ретінде стильдендірілген KDE пайдаланушы ортасы бар Ubuntu құрастыруын ұсынатын Linuxfx дистрибутивіндегі қауіпсіздікке әдеттен тыс немқұрайлы қатынасты анықтады.Жоба веб-сайтындағы деректерге сәйкес таратуды пайдаланушылар пайдаланады. миллионнан астам қолданушы және осы аптада 15 мыңға жуық жүктеу тіркелді. Тарату қосымша ақылы мүмкіндіктерді белсендіруді ұсынады, ол лицензиялық кілтті арнайы графикалық қосымшаға енгізу арқылы жүзеге асырылады.
Лицензияны белсендіру қосымшасын зерттеу (/usr/bin/windowsfx-register) оның құрамына жаңа пайдаланушы туралы деректер қосылатын сыртқы MySQL ДҚБЖ кіруге арналған кірістірілген логин мен құпия сөз бар екенін көрсетті. Бұл жағдайда пайдаланылатын тіркелгі деректері пайдаланушының IP мекенжайларын қоса, таратудың барлық орнатулары туралы ақпаратты көрсететін «машиналар» кестесін қоса, дерекқорға толық қол жеткізуге мүмкіндік береді. Барлық тіркелген коммерциялық пайдаланушылардың лицензиялық кілттері мен электрондық пошта мекенжайлары бар "fxkeys" кестесінің мазмұны да қолжетімді. Бір қызығы, миллион пайдаланушы туралы мәлімдемелерден айырмашылығы, дерекқорда бар болғаны 20 мың жазба бар. Қолданба Visual Basic тілінде жазылған және Gambas аудармашы арқылы жұмыс істейді.
Бөлім жасаушылардың реакциясы ерекше назар аударуға лайық. Қауіпсіздік мәселелері туралы ақпаратты жариялағаннан кейін олар мәселені өзі шешпей, тек дерекқор атауын, логин мен құпия сөзді өзгерткен, сонымен қатар тіркелгі деректерін алу логикасын өзгертіп, бағдарламаны қадағалаумен күресуге тырысатын жаңартуды шығарды. Қолданбаның өзінде орнатылған тіркелгі деректерінің орнына Linuxfx әзірлеушілері curl утилитасын пайдаланып сыртқы серверден дерекқорға қосылу үшін жүктеу параметрлерін қосты. Іске қосылғаннан кейінгі қорғау үшін жүйедегі барлық іске қосылған «sudo», «stapbp» және «*-bpfcc» процестерін іздеу және жою жүзеге асырылды, бұл осылайша олар бақылау бағдарламаларының жұмысына кедергі келтіруі мүмкін деген сеніммен жүзеге асырылды. .
Ақпарат көзі: opennet.ru