کیرنل کمیونٹی کے اراکین نے لینکس ایف ایکس ڈسٹری بیوشن میں سیکیورٹی کے حوالے سے غیر معمولی طور پر لاپرواہ رویہ کی نشاندہی کی ہے، جو کہ کے ڈی ای صارف ماحول کے ساتھ اوبنٹو کی تعمیر پیش کرتا ہے، جسے ونڈوز 11 انٹرفیس کے طور پر ترتیب دیا گیا ہے۔ پروجیکٹ کی ویب سائٹ کے ڈیٹا کے مطابق، تقسیم کا استعمال ایک ملین سے زیادہ صارفین، اور اس ہفتے تقریباً 15 ہزار ڈاؤن لوڈز ریکارڈ کیے گئے ہیں۔ ڈسٹری بیوشن کٹ اضافی ادا شدہ خصوصیات کو چالو کرنے کی پیش کش کرتی ہے، جو کہ ایک خصوصی گرافیکل ایپلی کیشن میں لائسنس کی کلید ڈال کر کی جاتی ہے۔
لائسنس ایکٹیویشن ایپلیکیشن (/usr/bin/windowsfx-register) کے مطالعہ سے پتہ چلتا ہے کہ اس میں ایک بیرونی MySQL DBMS تک رسائی کے لیے بلٹ ان لاگ ان اور پاس ورڈ شامل ہے، جس میں نئے صارف کے بارے میں ڈیٹا شامل کیا جاتا ہے۔ اس صورت میں، استعمال شدہ اسناد آپ کو ڈیٹا بیس تک مکمل رسائی حاصل کرنے کی اجازت دیتی ہیں، بشمول "مشینیں" ٹیبل، جو صارف کے IP پتے سمیت تقسیم کی تمام تنصیبات کے بارے میں معلومات دکھاتا ہے۔ لائسنس کیز کے ساتھ "fxkeys" ٹیبل کے مشمولات اور تمام رجسٹرڈ تجارتی صارفین کے ای میل پتے بھی دستیاب ہیں۔ یہ بات قابل ذکر ہے کہ دس لاکھ صارفین کے بیانات کے برعکس ڈیٹا بیس میں صرف 20 ہزار ریکارڈ موجود ہیں۔ ایپلیکیشن Visual Basic میں لکھی گئی ہے اور Gambas مترجم کا استعمال کرتے ہوئے چلتی ہے۔
ڈسٹری بیوشن ڈویلپرز کا ردعمل خصوصی توجہ کا مستحق ہے۔ سیکورٹی کے مسائل کے بارے میں معلومات شائع کرنے کے بعد، انہوں نے ایک اپ ڈیٹ جاری کیا جس میں انہوں نے خود مسئلہ کو حل نہیں کیا، بلکہ صرف ڈیٹا بیس کا نام، لاگ ان اور پاس ورڈ تبدیل کیا، اور اسناد کے حصول کی منطق کو بھی تبدیل کیا اور پروگرام ٹریسنگ کا مقابلہ کرنے کی کوشش کی۔ خود ایپلی کیشن میں موجود اسناد کے بجائے، Linuxfx ڈویلپرز نے curl یوٹیلیٹی کا استعمال کرتے ہوئے ایک بیرونی سرور سے ڈیٹا بیس سے منسلک ہونے کے لیے لوڈنگ پیرامیٹرز شامل کیے ہیں۔ لانچ کے بعد کے تحفظ کے لیے، سسٹم میں چل رہے تمام "sudo"، "stapbp" اور "*-bpfcc" کے عمل کو تلاش اور ہٹانا لاگو کیا گیا ہے، بظاہر اس خیال میں کہ اس طرح وہ ٹریسنگ پروگراموں کے آپریشن میں مداخلت کر سکتے ہیں۔ .
ماخذ: opennet.ru