LINUX.ORG.RU

Сайт GNU Savannah был взломан

 , , , ,


0

1

Сайт GNU Savannah был взломан. Вредителями была использована SQL injection атака, направленная на http://savannah.gnu.org. В результате были скомпроментированы зашифрованные пароли и злоумышленники получили доступ к некоторым закрытым материалам. Сайт до сих пор не работает, однако идет активный процесс восстановления данных из бэкапов БД и вскоре он вновь будет в строю.

>>> Подробности

Ответ на: комментарий от melkor217

Файлопомойка. Хостинг для гнутых проектов.

devl547 ★★★★★ ()

файлы (исходники) не подменили никакие ? неизвестно?

Sylvia ★★★★★ ()
Ответ на: комментарий от Sylvia

Вот что на офф. сайте

Savannah downtime

Savannah is currently down - details to follow.

There's been a SQL injection leading to leaking of encrypted account passwords, some of them discovered by brute-force attack, leading in turn to project membership access. We're reinstalling the system and restoring the data from a safe backup, November 23th circa 12:00 GMT. Please prepare to recommit your changes since that date. While effort was made in the past to fix injection vulnerabilities in the Savane2 legacy codebase, it appears this was not enough :/ No firm ETA for the return online yet (but during the week).

2010/11/29 21:30 GMT: access to the base host restored, extracting incremental backup from the 23th 2010/11/29 23:30 GMT: finished diagnosing original attack 2010/11/30 12:30 GMT: data transfers in progress 2010/11/30 13:30 GMT: read-only access to source repositories 2010/11/30 14:30 GMT: write access to source repositories 2010/11/30 16:30 GMT: data transfers finished 2010/11/30 18:00 GMT: access to downloads and GNU Arch 2010/11/30 22:30 GMT: found trace of earlier attack on Nov 23th 04:03:29 - considering whether to revert again TODO

[X] Put services online using backup, except for password-based ones (e.g. the web interface) [X] Reset passwords [/] Fix SQL injection and look for potential others [ ] Implement crypt-md5 support (like /etc/shadow, strong and LDAP-compatible) hashes, or possibly crypt-sha2 [ ] Implement password strength enforcement [ ] Bring back web interface [ ] Audit changes between the 23th and the 27th to see what was compromised -- The Savannah Hackers

Also see http://identi.ca/group/fsfstatus for information.

zootcat ()

Умники-злопыхатели в комментах, вы бы хоть раз что-нибудь полезное для сообщества сделали. Только и умеете «решето» вставлять. Возьми да напиши лучший движок.

slackerr ()
Ответ на: комментарий от Sylvia

Очевидно же.

файлы (исходники) не подменили никакие ? неизвестно?

GNU Emacs заменили на Блокнот.

ghblehjr11 ()

> скомпроментированы
скомпрометированы

Shlyapa ★★ ()

А я-то думал, чо он не работает..

AnDoR ★★★★★ ()

>доступ к некоторым закрытым материалам.

Как таинственно всё...

wbrer ★★★ ()
Ответ на: комментарий от wbrer

Точно, на сайте GNU все административные пароли и все данные всех пользователей должны быть открыты для всех.

movietrouble ()
Ответ на: комментарий от Sylvia

> файлы (исходники) не подменили никакие ?

Теперь из сорцов от GNU man собирается скрепыш.

Smacker ★★★ ()
Ответ на: комментарий от movietrouble

Имелось в виду: «Почему бы не сказать прямо к каким именно материалам был получен доступ».

wbrer ★★★ ()
Ответ на: комментарий от wbrer

> Имелось в виду: «Почему бы не сказать прямо к каким именно материалам был получен доступ».

Обратитесь к судебным архивам, поройтесь в первоисточниках. Новость, которая была получена из опеннетовской путём реверс-инжиниринга, очень проигрывает в достоверности.

movietrouble ()

в glibc закладки успели поставить?

Reset ★★★★★ ()

Сайт GNU Savannah был взломан

Скажите пожалуйста и как часто случаются такие взломы и как от них подстраховаться возможно?

ishkarali ()
Ответ на: комментарий от Shlyapa

>> скомпроментированы

скомпрометированы


Стоп! Я понял его намёк. Никакой SQL атаки не было, сервера из серверной просто менты вынесли.

darkshvein ☆☆ ()

There's been a SQL injection leading to leaking of encrypted account passwords

В XXI веке и их поимели через SQL Injection. Это очень характеризует. Мдя.

Korwin ★★★ ()

а я то думаю почему ranger из git не берется.

crono ()

SQL injection? в 21 веке?? позорище...

matumba ★★★★★ ()

Ахаха
Вот какая незадача бывает, если сайты начинают делать админы...

yaws ()

Как-то хотел год назад создать проект на этом сайте - показался слишком сложным и непонятным. Ну раз им не важно чтобы было просто и понятно, то тогда гудбай, google code ждет...

I-Love-Microsoft ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

> google code

Лучший хостинг для проектов, без сомнения. Ну и гитхаб еще.

pevzi ★★★★★ ()

Запросы к базе в текстовом виде и SQL в частности сами по себе небезопасны. По мне так стоило бы сделать несколько функций для основных операций вроде insert и select с чётко заданным на уровне кода набором параметров, дабы с пользовательского уровня никаких инъекций произвести нельзя было физически. Меньше гибкости, зато совсем другой уровень безопасности.

Sadler ★★★ ()
Ответ на: комментарий от Sadler

Для обычных сайтов SQL вообще малооправдан. Сейчас модно noSQL таскать за собой.

tensai_cirno ★★★★★ ()
Ответ на: комментарий от yeolahim

Не «уроды», а молодцы, без них эту дыру не нашли бы. Хотя доказывать что-то человеку пишущиму «уроды» без каких либо аргументов - пустая трата времени.

congestion_control ()
Ответ на: комментарий от congestion_control

Сомнительно, что взлом был произведен с согласия администрации сайта -> взлом незаконный. А так ..сломали и сайт лежит. Весело, полезно и все довольны. Еще чай поди хешей паролей натаскали.

garrys_game ()
Ответ на: комментарий от garrys_game

и да, полезно было бы, если б просто сообщили администрации сайта, что вот таким Макаром возможен взлом и тут дыра.

garrys_game ()

>SQL injection
Стыд! К слову сказать, грамотно написанное на ASP.NET/ADO.NET(Entity Framework) по определению исключает SQL Injection. Да! Теперь на Mono.

ipatov ()
Ответ на: комментарий от ipatov

Ну давай нам твой сайт на этом ASP.NET и «лицензию на взлом», местные специалисты проверят твои слова.

Ttt ☆☆☆☆☆ ()

SQL в веб проекте дааа дуршлаг

anonymous ()
Ответ на: комментарий от ipatov

(facepalm)

да когда же вы вымрите со своими на 40% работающим mono и не кроссплатформенным, проприаритарным гавнокодом .NET от M$.

qbbr ★★★★ ()
Ответ на: комментарий от anonymous

SQL в веб проекте дааа дуршлаг


Друшлаг не «SQL в веб проекте», а врожденное уродство в средстве разработки. Использование bind variables в принципе исключает возможность подобных атак.

scott_tiger ★★★ ()
Ответ на: комментарий от slackerr

>Только и умеете «решето» вставлять. Возьми да напиши лучший движок.

Тогда они будут вставлять «велосипед»...

X-Pilot ★★★★★ ()
Ответ на: комментарий от ipatov

Настоящий индус подключит через EF процедуру, в которой сделает EXEC.

queen3 ★★★★★ ()
Ответ на: комментарий от garrys_game

Всем пофиг

и да, полезно было бы, если б просто сообщили администрации сайта, что вот таким Макаром возможен взлом и тут дыра.

Если бы сообщили какому-нибудь гуглу или микрософту, то получили бы приличное вознаграждение. А с этих что взять? Маечку с коровой? Нестираный балахон с плеча человека-стола? Люди трудились, пускай хоть лулзы и + ЧСВ будет им наградой.

RealSiberianMan ()
Ответ на: Всем пофиг от RealSiberianMan

>Если бы сообщили какому-нибудь гуглу или микрософту, то получили бы приличное вознаграждение

«Приличное» — это в смысле реальный срок? А «неприличное» — это условный срок, штраф и т.п.?

Ttt ☆☆☆☆☆ ()
Ответ на: комментарий от queen3

Сделали уже. Называется ORM.


ORM самj по себе не гарантия безопасности, ничто не мешает написать реализацию ORM так, что результатом преобразования будет тот-же самы код с sql-injection.

scott_tiger ★★★ ()
Ответ на: комментарий от scott_tiger

Даже не знаю, что сказать на это заявление, настолько мне чужд образ мышления.

Может, пояснишь, зачем использовать ORM, который так делает, и где такой найти?

queen3 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.