Учасники спільноти Kernal виявили надзвичайно безтурботне ставлення до безпеки в дистрибутиві Linuxfx, що пропонує складання Ubuntu з окруженням користувача KDE, стилізованим під інтерфейс Windows 11. За даними з сайту проекту дистрибутивом користується більше мільйона користувачів, а за цей тиждень зафіксовано близько 15 тисяч. Дистрибутив пропонує активацію додаткових платних можливостей, що здійснюється через запровадження ліцензійного ключа у спеціальному графічному додатку.
Дослідження програми для активації ліцензії (/usr/bin/windowsfx-register) показало, що вона включає вшиті логін і пароль для звернення до зовнішньої СУБД MySQL, в яку додаються дані про нового користувача. При цьому облікові дані, що використовуються, дозволяють отримати повний доступ до БД, у тому числі до таблиці «machines» в якій відображені відомості про всі установки дистрибутива, включаючи IP-адреси користувачів. Доступно також вміст таблиці fxkeys з ліцензійними ключами та адресами електронної пошти всіх зареєстрованих комерційних користувачів. Примітно, що на відміну від заяв про мільйон користувачів, у БД є лише 20 тисяч записів. Програма написана на мові Visual Basic і виконується за допомогою інтерпретатора Gambas.
На окрему увагу заслуговує реакція розробників дистрибутива. Після публікації відомостей про проблеми з безпекою вони випустили оновлення, в якому не усунули саму проблему, лише змінили ім'я БД, логін і пароль, а також змінили логіку отримання облікових даних і спробували боротися з трасуванням програми. Замість вшитих у саму додаток облікових даних, розробники Linuxfx додали завантаження параметрів підключення до БД із зовнішнього сервера, використовуючи утиліту curl. Для захисту після запуску реалізовано пошук і видалення всіх запущених процесів "sudo", "stapbp" і "*-bpfcc" в системі, мабуть, вважаючи, що таким чином вони зможуть перешкодити роботі програм для трасування.
Джерело: opennet.ru