The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В инфраструктуре проекта Fedora выявлены проблемы с безопасностью

10.05.2013 09:23

Робин Бергерон (Robyn Bergeron), лидер проекта Fedora, опубликовал уведомление о выявлении ошибки в системе управления аккаунтами разработчиков дистрибутива, которая могла привести к утечке данных об учётных записях разработчиков проекта, на стадии, когда аккаунты ещё не прошли подтверждение. Среди информации, которая могла попасть не в те руки присутствуют хэши паролей (SHA-512 с солью), тайные вопросы и зашифрованные ответы для восстановления пароля и персональные данные.

Отмечается, что проблема присутствует в инфраструктуре с 2008 года, но эксплуатация уязвимости возможна только с использованием аккаунта авторизированного пользователя. Для эксплуатации уязвимости было достаточно отправить к скрипту экспорта данных в формате JSON специально оформленный запрос вывода списка неподтверждённых записей, который приводил к выводу всех полей, в том числе закрытых. Предварительный анализ логов первичной системы управления аккаунтами не выявил активности, свидетельствующей о проведении атак, использующих данную уязвимость. При этом для вспомогательных систем получить подтверждение об отсутствии утечки информации не удалось из-за отсутствия ведения необходимых логов.

В связи с обнаруженной проблемой, всем пользователям, имеющим аккаунты в инфраструктуре Fedora, рекомендовано, но не навязывается, произвести смену паролей и обновить вопросы/ответы для восстановления доступа.

  1. Главная ссылка к новости (http://lists.fedoraproject.org...)
  2. OpenNews: В инфраструктуре проекта Fedora зафиксировано вторжение злоумышленника
  3. OpenNews: Проблемы в инфраструктуре проекта Fedora
  4. OpenNews: Инфраструктура проекта FreeBSD подверглась взлому, не исключена подмена пакетов
  5. OpenNews: В поставке открытого проекта Piwik обнаружен бэкдор
  6. OpenNews: Сайт wiki.debian.org подвергся взлому (дополнено)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/36901-fedora
Ключевые слова: fedora, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Клыкастый (ok), 11:28, 10/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    аудит, аудит, аудит.
     
     
  • 2.2, Аноним (-), 11:30, 10/05/2013 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Девелоперс, девелоперс, девелоперс
     
     
  • 3.8, Аноним (-), 14:24, 10/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Чтоб ему чёрт приснился, вашему Балмеру!
     
     
  • 4.9, Аноним (-), 14:38, 10/05/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Чтоб ему чёрт приснился, вашему Балмеру!

    Я думаю, они ему не только снятся ;)

     
  • 4.11, Аноным (ok), 17:50, 10/05/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Он сам чёрт.
     

  • 1.3, SubGun (??), 11:59, 10/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Уязвимость существует 5 лет уже, прикольно)
     
  • 1.7, Аноним (-), 14:23, 10/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А они ещё хотят пароль открытым показывать, вместо звёздочек...
     
     
  • 2.10, anonymous (??), 15:28, 10/05/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А они ещё хотят пароль открытым показывать, вместо звёздочек...

    Изверги. В биореактор.

     

  • 1.12, linux must _RIP_ (?), 18:26, 10/05/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    и эти люди пытаются указывать остальным как жить ?:)
     
     
  • 2.14, Аноним (-), 21:37, 11/05/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Не только пытаются, но и вполне успешно указывают.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру