Kernal 社区的成员发现 Linuxfx 发行版对安全性异常粗心,该发行版提供了带有 KDE 用户环境的 Ubuntu 版本,风格化为 Windows 11 界面。根据项目网站的数据,该发行版由本周用户数量超过 15 万,下载量约 XNUMX 万次。 该发行版提供了额外付费功能的激活,这是通过在特殊的图形应用程序中输入许可证密钥来完成的。
对许可证激活应用程序 (/usr/bin/windowsfx-register) 的研究表明,它包含用于访问外部 MySQL DBMS 的内置登录名和密码,其中添加了有关新用户的数据。 在这种情况下,使用的凭据允许您获得对数据库的完全访问权限,包括“机器”表,该表显示有关所有发行版安装的信息,包括用户 IP 地址。 “fxkeys”表的内容以及所有注册商业用户的许可证密钥和电子邮件地址也可用。 值得注意的是,与大约一百万用户的报表相比,数据库中只有两万条记录。 该应用程序是用 Visual Basic 编写的,并使用 Gambas 解释器运行。
发行版开发商的反应值得特别关注。 在发布有关安全问题的信息后,他们发布了一个更新,其中没有修复问题本身,而只是更改了数据库名称、登录名和密码,还更改了获取凭据的逻辑并试图对抗程序跟踪。 Linuxfx 开发人员没有将凭据内置到应用程序本身中,而是添加了加载参数,用于使用curl 实用程序从外部服务器连接到数据库。 对于启动后保护,已实施搜索并删除系统中所有正在运行的“sudo”、“stapbp”和“*-bpfcc”进程,显然是因为相信通过这种方式它们可以干扰跟踪程序的运行。
来源: opennet.ru