Kernal topluluğunun üyeleri, Windows 11 arayüzü olarak stilize edilmiş KDE kullanıcı ortamına sahip bir Ubuntu yapısı sunan Linuxfx dağıtımında güvenliğe yönelik alışılmadık derecede dikkatsiz bir tutum tespit etti.Proje web sitesinden alınan verilere göre, dağıtım şu kişiler tarafından kullanılıyor: bir milyondan fazla kullanıcı ve bu hafta yaklaşık 15 bin indirme kaydedildi. Dağıtım, özel bir grafik uygulamaya lisans anahtarı girilerek yapılan ek ücretli özelliklerin etkinleştirilmesini sağlar.
Lisans etkinleştirme uygulaması (/usr/bin/windowsfx-register) üzerinde yapılan bir araştırma, bu uygulamanın, yeni kullanıcı hakkındaki verilerin eklendiği harici bir MySQL DBMS'ye erişim için yerleşik bir kullanıcı adı ve parola içerdiğini gösterdi. Bu durumda, kullanılan kimlik bilgileri, kullanıcı IP adresleri de dahil olmak üzere dağıtımın tüm kurulumları hakkındaki bilgileri görüntüleyen "makineler" tablosu da dahil olmak üzere veritabanına tam erişim elde etmenize olanak tanır. Tüm kayıtlı ticari kullanıcıların lisans anahtarlarını ve e-posta adreslerini içeren "fxkeys" tablosunun içeriği de mevcuttur. Bir milyon kullanıcıya ilişkin açıklamaların aksine veri tabanında sadece 20 bin kaydın bulunması dikkat çekiyor. Uygulama Visual Basic'te yazılmıştır ve Gambas yorumlayıcısını kullanarak çalışır.
Dağıtım geliştiricilerinin tepkisi özel ilgiyi hak ediyor. Güvenlik sorunları hakkında bilgi yayınladıktan sonra, sorunun kendisini çözmedikleri, yalnızca veritabanı adını, kullanıcı adını ve parolayı değiştirdikleri, ayrıca kimlik bilgileri alma mantığını değiştirdikleri ve program izlemeyle mücadele etmeye çalıştıkları bir güncelleme yayınladılar. Linuxfx geliştiricileri, uygulamanın kendisinde yerleşik kimlik bilgileri yerine, curl yardımcı programını kullanarak harici bir sunucudan veritabanına bağlanmak için yükleme parametreleri ekledi. Lansman sonrası koruma için, sistemde çalışan tüm "sudo", "stapbp" ve "*-bpfcc" işlemlerinin aranması ve kaldırılması uygulandı; görünüşe göre bu şekilde izleme programlarının çalışmasına müdahale edebilecekleri inancıyla .
Kaynak: opennet.ru