Librem One 服务旨在在智能手机中使用 ,紧接着 浮出水面 其安全性损害了该项目的信誉,该项目被视为确保隐私的安全平台。 该漏洞存在于 Librem Chat 服务中,允许在不知道身份验证参数的情况下以任何用户身份进入聊天。
在使用的后端代码中,允许通过 LDAP (matrix-appservice-ldap3) 对 Matrix 网络进行授权 ,结果被转移到 Librem One 工作服务代码。 它不是指定字符串“result,_=yield self._ldap_simple_bind”,而是指定为“result=yield self._ldap_simple_bind”,这允许任何未经授权的用户以任何标识符进入聊天。 Matrix项目的开发者犯了一个错误 该问题仅出现在主分支“matrix-appservice-ldap3”中,而不是出现在版本中,而是出现在存储库中有问题的行中 自 2016 年以来(也许问题的运行条件是在最近的一些其他变化之后才出现的)。
投入运营的一组 Librem One 服务意味着付费订阅(每月 7.99 美元或每年 71.91 美元),但同时,作为移动客户端和服务器处理程序基础的现有开放项目 以 Librem 品牌进行分销。 例如,Librem Chat 是一个重命名的 Matrix 客户端 ,Librem Social 是基于 , Librem Mail 更名为 ,Librem隧道借自 。 服务器组件基于
Librem Mail 的 Postfix 和 Dovecot, 用于 Librem 聊天和 对于 Librem 社会。 以其他名称提供应用程序的原因是希望在一个可识别的品牌下收集基于开放标准(Matrix、ActivityPub、IMAP)的各种去中心化服务。
来源: opennet.ru