W usłudze Librem One, przeznaczonej do użytku na smartfonie , zaraz po wypłynął na powierzchnię z bezpieczeństwem, które dyskredytuje projekt, który jest reklamowany jako bezpieczna platforma prywatności. Luka została odkryta w usłudze Librem Chat i umożliwiała wejście na czat jako dowolny użytkownik, bez znajomości parametrów uwierzytelniających.
W zastosowanym kodzie backendowym dopuszczono autoryzację poprzez LDAP (matrix-appservice-ldap3) dla sieci Matrix , który okazał się przeniesiony na kod działającej usługi Librem One. Zamiast wiersza „result, _ = plon self._ldap_simple_bind” podano „result = plon self._ldap_simple_bind”, co umożliwiło każdemu użytkownikowi bez autoryzacji wejście na czat pod dowolnym identyfikatorem. Twórcy projektu Matrix popełnili błąd że problem pojawił się tylko w gałęzi głównej „matrix-appservice-ldap3”, a nie w wydaniach, ale w repozytorium pojawił się problematyczny wiersz od 2016 r. (być może warunki do funkcjonowania problemu powstały dopiero po innych, ostatnich zmianach).
Nowo uruchomiony zestaw usług Librem One zakłada płatną subskrypcję (7.99 USD miesięcznie lub 71.91 USD rocznie), ale klienci mobilni i procesory serwerowe bazują na istniejących otwartych projektach, które zostały do dystrybucji pod marką Librem. Na przykład Librem Chat to klient Matrix, którego nazwa została zmieniona Na czym opiera się Librem Social , nazwa Librem Mail zmieniona z , z którego zapożyczono Tunel Librem . Na czym opierają się komponenty serwera
Postfix i Dovecot dla Librem Mail, dla Librem Chat i dla Librem Social. Powodem dostarczania aplikacji pod innymi nazwami jest chęć zebrania różnych zdecentralizowanych usług opartych na otwartych standardach (Matrix, ActivityPub, IMAP) pod jedną rozpoznawalną marką.
Źródło: opennet.ru
