Исходное сообщение
"Критическая уязвимость в сервисе Librem One, выявленная в де..." Отправлено opennews, 02-Май-19 12:15
В сервисе Librem One, нацеленном на использование в смартфоне Librem 5, сразу после запуска (https://puri.sm/posts/the-new-librem-one-services/) всплыла критическая проблема (https://puri.sm/posts/underscoring-our-transparency-first-li.../) с безопасностью, которая дискредитирует проект, преподносимый как защищённая платформа для обеспечения приватности. Уязвимость найдена в сервисе Librem Chat и позволяла зайти в чат под любым пользователем, без знания параметров аудентификации. В использованном коде бэкенда авторизации через LDAP (matrix-appservice-ldap3) для сети Matrix была допущена ошибка (https://github.com/matrix-org/matrix-synapse-ldap3/commit/90...), которая оказалась перенесена и в  код рабочего сервиса Librem One. Вместо строки "result, _ = yield self._ldap_simple_bind" было указано "result = yield self._ldap_simple_bind", что позволяло любому пользователю без авторизации  войти в чат под любым идентификатором. Допустившие ошибку разработчики проекта Matrix  утверждают (https://twitter.com/matrixdotorg/status/1123298776725303299), что проблема проявлялась только в master-ветке "matrix-appservice-ldap3", а не в релизах, но в репозитории проблемная строка присутствует (https://github.com/matrix-org/matrix-synapse-ldap3/commit/4b...) ещё с 2016 года (возможно условия для эксплуатации проблемы возникли только после каких-то других недавних изменений). Введённый в строй набор сервисов Librem One подразумевает  платную подписку ($7.99 в месяц или  $71.91 в год), но при этом за основу мобильных клиентов и серверных обработчиков взяты существующие открытые проекты, которые были переименованы (https://puri.sm/posts/how-purism-works-upstream-and-gives-back/) для распространения под брендом Librem. Например,   Librem Chat является переименованным Matrix-клиентом Riot (https://github.com/vector-im/riot-android), Librem Social основан на Tusky (https://github.com/tuskyapp/Tusky), Librem Mail переименован из K-9 (https://github.com/k9mail/k-9), Librem Tunnel заимствован из Ics-openvpn (https://github.com/schwabe/ics-openvpn). Серверные компоненты основаны на   Postfix и Dovecot для Librem Mail, Matrix (https://matrix.org/)  для Librem Chat и Mastodon (https://mastodon.social/) для Librem Social. В качестве причины поставки приложений под другими названиями называется желать собрать под одним узнаваемым брендом различные децентрализованные сервисы на базе открытых стантартов (Matrix, ActivityPub, IMAP). URL: https://puri.sm/posts/underscoring-our-transparency-first-li.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=50616