Medlemmar av Kernal-communityt har identifierat en ovanligt nonchalant attityd till säkerhet i Linuxfx-distributionen, som erbjuder en version av Ubuntu med en Windows 11-stilad KDE-användarmiljö. Enligt projektets webbplats har distributionen mer än en miljon användare och ca. 15 XNUMX nedladdningar den här veckan. Distributionspaketet erbjuder aktivering av ytterligare betalda funktioner, vilket görs genom införandet av en licensnyckel i en speciell grafisk applikation.
En studie av licensaktiveringsapplikationen (/usr/bin/windowsfx-register) visade att den innehåller en fast inloggning och lösenord för att komma åt en extern MySQL DBMS, till vilken data om en ny användare läggs till. Samtidigt tillåter de använda referenserna dig att få full tillgång till databasen, inklusive tabellen "maskiner", som återspeglar information om alla installationer av distributionssatsen, inklusive användarens IP-adresser. Innehållet i tabellen "fxkeys" med licensnycklar och e-postadresser för alla registrerade kommersiella användare är också tillgängligt. Det är anmärkningsvärt att det, i motsats till vad en miljon användare hävdar, bara finns 20 XNUMX poster i databasen. Applikationen är skriven i Visual Basic och körs med Gambas tolk.
Reaktionen från utvecklarna av distributionssatsen förtjänar särskild uppmärksamhet. Efter publiceringen av information om säkerhetsproblem släppte de en uppdatering där de inte fixade själva problemet, utan bara ändrade databasnamn, inloggning och lösenord, och även ändrade logiken för att erhålla referenser och försökte hantera programspårning. Istället för de referenser som sytts in i själva applikationen lade Linuxfx-utvecklarna till laddningen av databasanslutningsparametrar från en extern server med hjälp av curl-verktyget. För skydd efter uppstart implementeras en sökning och borttagning av alla körande "sudo", "stapbp" och "*-bpfcc"-processer i systemet, uppenbarligen i tron att de på detta sätt kan störa arbetet med program för spårning.
Källa: opennet.ru