В дистрибутиве Linuxfx выявлен вшитый пароль для доступа к базе пользователей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Участники сообщества Kernal выявили необыкновенно беспечное отношение к безопасности в дистрибутиве Linuxfx, предлагающем сборку Ubuntu с пользовательским окружением KDE, стилизованным под интерфейс Windows 11. По данным с сайта проекта дистрибутивом пользуется более миллиона пользователей, а за эту неделю зафиксировано около 15 тысяч загрузок. Дистрибутив предлагает активацию дополнительных платных возможностей, которая производится через введение лицензионного ключа в специальном графическом приложении.
Исследование приложения для активации лицензии (/usr/bin/windowsfx-register) показало, что оно включает в себя вшитые логин и пароль для обращения к внешней СУБД MySQL, в которую добавляются данные о новом пользователе. При этом используемые учётные данные позволяют получить полный доступ к БД, в том числе к таблице "machines" в которой отражены сведения о всех установках дистрибутива, включая IP-адреса пользователей. Доступно также содержимое таблицы "fxkeys" с лицензионными ключами и адресами электронной почты всех зарегистрированных коммерческих пользователей. Примечательно, что в отличие от заявлений о миллионе пользователей, в БД имеется лишь 20 тысяч записей.
Приложение написано на языке Visual Basic и выполняется с использованием интерпретатора Gambas.
Отдельного внимания заслуживает реакция разработчиков дистрибутива. После публикации сведений о проблемах с безопасностью они выпустили обновление, в котором не устранили саму проблему, а лишь поменяли имя БД, логин и пароль, а также изменили логику получения учётных данных и попытались бороться с трассировкой программы. Вместо вшитых в само приложение учётных данных, разработчики Linuxfx добавили загрузку параметров подключения к БД с внешнего сервера, используя утилиту curl. Для защиты после запуска реализован поиск и удаление всех запущенных процессов "sudo", "stapbp" и "*-bpfcc" в системе, видимо, полагая, что таким образом они смогут помешать работе программ для трассировки.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://kernal.eu/posts/linuxf...)
- OpenNews: Проект Windowsfx подготовил сборку Ubuntu с интерфейсом, стилизованным под Windows 11
- OpenNews: Использование настроек по умолчанию в Apache способствует раскрытию данных о скрытых сервисах Tor
- OpenNews: В ходе атаки Meow удалено около 4000 общедоступных БД Elasticsearch и MongoDB
- OpenNews: Аппаратное AES шифрование, на деле оказалось простым XOR
- OpenNews: Уязвимости в Cisco RV32x были "устранены" через блокировку запросов от утилиты curl
Похожие новости:Теги для поиска: #_linuxfx
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:17
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Участники сообщества Kernal выявили необыкновенно беспечное отношение к безопасности в дистрибутиве Linuxfx, предлагающем сборку Ubuntu с пользовательским окружением KDE, стилизованным под интерфейс Windows 11. По данным с сайта проекта дистрибутивом пользуется более миллиона пользователей, а за эту неделю зафиксировано около 15 тысяч загрузок. Дистрибутив предлагает активацию дополнительных платных возможностей, которая производится через введение лицензионного ключа в специальном графическом приложении. Исследование приложения для активации лицензии (/usr/bin/windowsfx-register) показало, что оно включает в себя вшитые логин и пароль для обращения к внешней СУБД MySQL, в которую добавляются данные о новом пользователе. При этом используемые учётные данные позволяют получить полный доступ к БД, в том числе к таблице "machines" в которой отражены сведения о всех установках дистрибутива, включая IP-адреса пользователей. Доступно также содержимое таблицы "fxkeys" с лицензионными ключами и адресами электронной почты всех зарегистрированных коммерческих пользователей. Примечательно, что в отличие от заявлений о миллионе пользователей, в БД имеется лишь 20 тысяч записей. Приложение написано на языке Visual Basic и выполняется с использованием интерпретатора Gambas. Отдельного внимания заслуживает реакция разработчиков дистрибутива. После публикации сведений о проблемах с безопасностью они выпустили обновление, в котором не устранили саму проблему, а лишь поменяли имя БД, логин и пароль, а также изменили логику получения учётных данных и попытались бороться с трассировкой программы. Вместо вшитых в само приложение учётных данных, разработчики Linuxfx добавили загрузку параметров подключения к БД с внешнего сервера, используя утилиту curl. Для защиты после запуска реализован поиск и удаление всех запущенных процессов "sudo", "stapbp" и "*-bpfcc" в системе, видимо, полагая, что таким образом они смогут помешать работе программ для трассировки.  =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:17
Часовой пояс: UTC + 5