Kernal 社群的成員發現 Linuxfx 發行版對安全性異常粗心,該發行版提供了帶有 KDE 用戶環境的 Ubuntu 版本,風格化為 Windows 11 介面。根據專案網站的數據,該發行版由本週用戶數量超過15 萬,下載量約XNUMX 萬次。 此分發套件提供了額外付費功能的激活,這是透過在特殊的圖形應用程式中輸入許可證金鑰來完成的。
對許可證啟動應用程式 (/usr/bin/windowsfx-register) 的研究表明,它包含用於存取外部 MySQL DBMS 的內建登入名稱和密碼,其中添加了有關新用戶的資料。 在這種情況下,使用的憑證允許您獲得對資料庫的完全存取權限,包括「機器」表,該表顯示有關所有發行版安裝的信息,包括使用者 IP 位址。 「fxkeys」表的內容以及所有註冊商業用戶的許可證金鑰和電子郵件地址也可用。 值得注意的是,與大約一百萬用戶的報表相比,資料庫中只有兩萬筆記錄。 該應用程式是用 Visual Basic 編寫的,並使用 Gambas 解釋器運行。
發行版開發商的反應值得特別關注。 在發布有關安全問題的資訊後,他們發布了一個更新,其中沒有修復問題本身,而只是更改了資料庫名稱、登入名稱和密碼,還更改了獲取憑證的邏輯並試圖對抗程式追蹤。 Linuxfx 開發人員沒有將憑證內建到應用程式本身中,而是添加了載入參數,用於使用curl 公用程式從外部伺服器連接到資料庫。 對於啟動後保護,已實施搜尋並刪除系統中所有正在運行的「sudo」、「stapbp」和「*-bpfcc」進程,顯然是因為相信透過這種方式它們可以乾擾追蹤程式的運作。
來源: opennet.ru