30/5/2013
Dział bezpieczeństwa Drupala, popularnego CMS-a, poprosił użytkowników o zmianę hasła. Zachodzi podejrzenie, że ktoś uzyskał nieautoryzowany dostęp do danych użytkowników przechowywanych w serwisach drupal.org i groups.drupal.org.
Co wykradziono z Drupal.org?
O incydencie powiadomiono w rozesłanym godzinę temu e-mailu. Według niego, atakujący mogli uzyskać dane takie jak:
-
nazwa użytkownika
e-mail,
kraj,
hash hasła (w większości solony)
Osoby, które posiadają Drupala zainstalowanego w swojej domenie nie powinny wpadać w panikę. Ze wstępnej analizy incydentu wynika, że włamanie nastąpiło poprzez oprogramowanie firmy trzeciej zainstalowane na infrastrukturze Drupal.org (i tylko tam — błąd nie znajduje się w kodzie CMS-a).
Jak doszło do ataku?
Szczegółowy wektor ataku nie jest znany ale ekipa Drupala zapewnia, że atakujący nie wstrzyknęli żadnego backdoora w kod CMS-a. Nie ujawniono też nazwy dziurawego oprogramowania, które atakujący wykorzystali do wstrzyknięcia złośliwego pliku (zapewne jakiejś formy webshella) na jeden z drupalowych serwerów. Informacja o przekonwertowaniu starych podstron w domenie Drupal.org na formę statyczną sugeruje, że dziura mogła się znajdować w jednym z tworzonych na specjalną okazję serwisów.
Mam konto na Drupal.org, co robić, jak żyć?
Jak zwykle, wszyscy z Was, którzy korzystali z podobnego hasła w innych serwisach powinni je zmienić także tam.
Drużyna Drupala zresetowała wszystkim hasła z automatu.
Przynajmniej tak twierdzą na stronie.
“…nieautoryzowany…” jakie to piękne słowo ;)
kurcze, niebezpieczniku, zmiana hasła jest wymuszona, więc
nie piszcie panicznym tonem, żeby pędzić zmienić hasło: “As a
precautionary measure, we’ve reset all Drupal.org account holder
passwords and are requiring users to reset their passwords at their
next login attempt.”
A pomyslales ze jak atakujacy ma czyjes haslo (bo je
zaje…) to sie zaloguje zanim zrobi to wlasciciel i on zmieni
haslo do danego konta? Dlatego to ,,pedzic” ma sens. Poza tym
jeszcze hasla do innych systemow trzeba zmienic jak ktos dal takie
samo albo podobne :>
Rysiu: A pomyślałeś, że taki reset ma mały sens, więc
zapewne rozsyłają maile z wygenerowanymi nowymi hasłami? ;) Kwestia
tego samego hasła w innych miejscach jest natomiast
słuszna.
Co to jest “wektor ataku”?
“Mianem wektora ataku okresla sie droge, technike lub zabiegi uzyte do
uzyskania nieautoryzowanego dostepu do systemu komputerowego lub
urzadzenia sieciowego w celu przejecia nad nim kontroli lub uzyskania
zgromadzonych w nim informacji.”
Wektor Ataku… kurcze to jest coś takiego jak bułka z
dżemem szynką i musztardą szykowana ci przez dziewczynę – czyli
musi mieć w tym cel i kierunek – niekoniecznie łatwy do
wyjaśnienia, zbadania czy logiczny.
Mianem wektora ataku określa się drogę, technikę lub
zabiegi użyte do uzyskania nieautoryzowanego dostępu do systemu
komputerowego lub urządzenia sieciowego w celu przejęcia nad nim
kontroli lub uzyskania zgromadzonych w nim informacji. ur welcome
;)
“hash hasła (w większości solony)” jak to w większości?
Program losuje który hashować xD albo wedle uznania admina
:P
Hash adminów posolili a resztę zostawili dla lepszej
wydajności. Albo coś innego :)
Najprawdopodobniej pięć lat temu nie solili, a później rozbudowali mechanizm o solenie haseł. Ale nie mogli przecież zmigrować starych danych, więc do pierwszego logowania hasze pozostają niesolone. A dla użytkowników, którzy się nie zalogują – pozostają niesolone wiecznie. To trochę ten sam problem, jak z trudnością hasza w bcrypcie, scrypcie lub PBKDF2. Można ją zmienić, ale dopiero po ponownym zalogowaniu użytkownika zmiany na jego haśle zostaną zastosowane.
bo reszte było spieprzone:P jak nie mówią co i jak to napewno mają coś na sumieniu…
moze hasło admin123 :P
Drupal to dupa. Ktoś w ogóle jeszcze tego używa? Concrete5 FTW!
Concrete5, niby darmowy cms ale jak chcesz coś bardziej “skomplikowanego” zrobić (np. system newsów) to musisz udać się na zakupy do sklepiku, bo darmowe wtyczki to jakaś proteza a nie system aktualności.
To, albo napisać własne (co przy API Concrete5 jest b. łatwe).
Albo wdrożyc Drupala