0:10
30/5/2013

Dział bezpieczeństwa Drupala, popularnego CMS-a, poprosił użytkowników o zmianę hasła. Zachodzi podejrzenie, że ktoś uzyskał nieautoryzowany dostęp do danych użytkowników przechowywanych w serwisach drupal.org i groups.drupal.org.

Drupal

Drupal

Co wykradziono z Drupal.org?

O incydencie powiadomiono w rozesłanym godzinę temu e-mailu. Według niego, atakujący mogli uzyskać dane takie jak:

    nazwa użytkownika
    e-mail,
    kraj,
    hash hasła (w większości solony)

Osoby, które posiadają Drupala zainstalowanego w swojej domenie nie powinny wpadać w panikę. Ze wstępnej analizy incydentu wynika, że włamanie nastąpiło poprzez oprogramowanie firmy trzeciej zainstalowane na infrastrukturze Drupal.org (i tylko tam — błąd nie znajduje się w kodzie CMS-a).

Jak doszło do ataku?

Szczegółowy wektor ataku nie jest znany ale ekipa Drupala zapewnia, że atakujący nie wstrzyknęli żadnego backdoora w kod CMS-a. Nie ujawniono też nazwy dziurawego oprogramowania, które atakujący wykorzystali do wstrzyknięcia złośliwego pliku (zapewne jakiejś formy webshella) na jeden z drupalowych serwerów. Informacja o przekonwertowaniu starych podstron w domenie Drupal.org na formę statyczną sugeruje, że dziura mogła się znajdować w jednym z tworzonych na specjalną okazję serwisów.

Mam konto na Drupal.org, co robić, jak żyć?

Jak zwykle, wszyscy z Was, którzy korzystali z podobnego hasła w innych serwisach powinni je zmienić także tam.

Przeczytaj także:

18 komentarzy

Dodaj komentarz
  1. Drużyna Drupala zresetowała wszystkim hasła z automatu.
    Przynajmniej tak twierdzą na stronie.

  2. “…nieautoryzowany…” jakie to piękne słowo ;)

  3. kurcze, niebezpieczniku, zmiana hasła jest wymuszona, więc
    nie piszcie panicznym tonem, żeby pędzić zmienić hasło: “As a
    precautionary measure, we’ve reset all Drupal.org account holder
    passwords and are requiring users to reset their passwords at their
    next login attempt.”

    • A pomyslales ze jak atakujacy ma czyjes haslo (bo je
      zaje…) to sie zaloguje zanim zrobi to wlasciciel i on zmieni
      haslo do danego konta? Dlatego to ,,pedzic” ma sens. Poza tym
      jeszcze hasla do innych systemow trzeba zmienic jak ktos dal takie
      samo albo podobne :>

    • Rysiu: A pomyślałeś, że taki reset ma mały sens, więc
      zapewne rozsyłają maile z wygenerowanymi nowymi hasłami? ;) Kwestia
      tego samego hasła w innych miejscach jest natomiast
      słuszna.

  4. Co to jest “wektor ataku”?

    • “Mianem wektora ataku okresla sie droge, technike lub zabiegi uzyte do
      uzyskania nieautoryzowanego dostepu do systemu komputerowego lub
      urzadzenia sieciowego w celu przejecia nad nim kontroli lub uzyskania
      zgromadzonych w nim informacji.”

  5. Wektor Ataku… kurcze to jest coś takiego jak bułka z
    dżemem szynką i musztardą szykowana ci przez dziewczynę – czyli
    musi mieć w tym cel i kierunek – niekoniecznie łatwy do
    wyjaśnienia, zbadania czy logiczny.

  6. Mianem wektora ataku określa się drogę, technikę lub
    zabiegi użyte do uzyskania nieautoryzowanego dostępu do systemu
    komputerowego lub urządzenia sieciowego w celu przejęcia nad nim
    kontroli lub uzyskania zgromadzonych w nim informacji. ur welcome
    ;)

  7. “hash hasła (w większości solony)” jak to w większości?

    • Program losuje który hashować xD albo wedle uznania admina
      :P

    • Hash adminów posolili a resztę zostawili dla lepszej
      wydajności. Albo coś innego :)

    • Najprawdopodobniej pięć lat temu nie solili, a później rozbudowali mechanizm o solenie haseł. Ale nie mogli przecież zmigrować starych danych, więc do pierwszego logowania hasze pozostają niesolone. A dla użytkowników, którzy się nie zalogują – pozostają niesolone wiecznie. To trochę ten sam problem, jak z trudnością hasza w bcrypcie, scrypcie lub PBKDF2. Można ją zmienić, ale dopiero po ponownym zalogowaniu użytkownika zmiany na jego haśle zostaną zastosowane.

  8. bo reszte było spieprzone:P jak nie mówią co i jak to napewno mają coś na sumieniu…
    moze hasło admin123 :P

  9. Drupal to dupa. Ktoś w ogóle jeszcze tego używa? Concrete5 FTW!

  10. Concrete5, niby darmowy cms ale jak chcesz coś bardziej “skomplikowanego” zrobić (np. system newsów) to musisz udać się na zakupy do sklepiku, bo darmowe wtyczki to jakaś proteza a nie system aktualności.

    • To, albo napisać własne (co przy API Concrete5 jest b. łatwe).

    • Albo wdrożyc Drupala

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.