Membrii comunității Kernal au identificat o atitudine neobișnuit de neglijentă față de securitate în distribuția Linuxfx, care oferă o versiune Ubuntu cu mediul de utilizator KDE, stilizat ca interfață Windows 11. Conform datelor de pe site-ul web al proiectului, distribuția este utilizată de peste un milion de utilizatori și aproximativ 15 mii de descărcări au fost înregistrate în această săptămână. Kitul de distribuție oferă activarea unor funcții suplimentare plătite, care se realizează prin introducerea unei chei de licență într-o aplicație grafică specială.
Un studiu al aplicației de activare a licenței (/usr/bin/windowsfx-register) a arătat că aceasta include un login și o parolă încorporate pentru accesarea unui SGBD MySQL extern, în care sunt adăugate date despre noul utilizator. În acest caz, acreditările utilizate vă permit să obțineți acces deplin la baza de date, inclusiv tabelul „mașini”, care afișează informații despre toate instalările distribuției, inclusiv adresele IP ale utilizatorilor. Conținutul tabelului „fxkeys” cu cheile de licență și adresele de e-mail ale tuturor utilizatorilor comerciali înregistrați este, de asemenea, disponibil. Este de remarcat faptul că, spre deosebire de declarațiile despre un milion de utilizatori, în baza de date există doar 20 de mii de înregistrări. Aplicația este scrisă în Visual Basic și rulează folosind interpretul Gambas.
Reacția dezvoltatorilor de distribuție merită o atenție deosebită. După ce au publicat informații despre problemele de securitate, au lansat o actualizare în care nu au remediat problema în sine, ci au schimbat doar numele bazei de date, autentificarea și parola și, de asemenea, au schimbat logica pentru obținerea acreditărilor și au încercat să combată urmărirea programului. În loc de acreditările încorporate în aplicația în sine, dezvoltatorii Linuxfx au adăugat parametri de încărcare pentru conectarea la baza de date de pe un server extern folosind utilitarul curl. Pentru protecția post-lansare, a fost implementată căutarea și eliminarea tuturor proceselor „sudo”, „stapbp” și „*-bpfcc” care rulează în sistem, aparent în convingerea că în acest fel pot interfera cu funcționarea programelor de urmărire. .
Sursa: opennet.ru