Medlemmer av Kernal-fellesskapet har identifisert en uvanlig uforsiktig holdning til sikkerhet i Linuxfx-distribusjonen, som tilbyr en build av Ubuntu med KDE-brukermiljøet, stilisert som Windows 11-grensesnittet. I følge data fra prosjektets nettside brukes distribusjonen av mer enn en million brukere, og rundt 15 tusen nedlastinger er registrert denne uken. Distribusjonssettet tilbyr aktivering av ekstra betalte funksjoner, som gjøres ved å legge inn en lisensnøkkel i en spesiell grafisk applikasjon.
En studie av lisensaktiveringsapplikasjonen (/usr/bin/windowsfx-register) viste at den inkluderer en innebygd pålogging og passord for tilgang til en ekstern MySQL DBMS, som data om den nye brukeren legges til. I dette tilfellet lar legitimasjonen som brukes deg få full tilgang til databasen, inkludert tabellen "maskiner", som viser informasjon om alle installasjoner av distribusjonen, inkludert brukerens IP-adresser. Innholdet i "fxkeys"-tabellen med lisensnøkler og e-postadresser til alle registrerte kommersielle brukere er også tilgjengelig. Det er bemerkelsesverdig at, i motsetning til uttalelser om en million brukere, er det bare 20 tusen poster i databasen. Applikasjonen er skrevet i Visual Basic og kjører ved hjelp av Gambas-tolken.
Reaksjonen til distribusjonsutviklerne fortjener spesiell oppmerksomhet. Etter å ha publisert informasjon om sikkerhetsproblemer, ga de ut en oppdatering der de ikke løste selve problemet, men bare endret databasenavn, pålogging og passord, og også endret logikken for å skaffe legitimasjon og prøvde å bekjempe programsporing. I stedet for legitimasjon innebygd i selve applikasjonen, la Linuxfx-utviklerne til lasteparametere for å koble til databasen fra en ekstern server ved å bruke curl-verktøyet. For etterlanseringsbeskyttelse er søk og fjerning av alle kjørende «sudo», «stapbp» og «*-bpfcc»-prosesser i systemet blitt implementert, tilsynelatende i den tro at de på denne måten kan forstyrre driften av sporingsprogrammer .
Kilde: opennet.ru