LINUX.ORG.RU

Скомпрометирована база пользователей Mageia

 , , ,


0

0

Дональд Стюарт (Donald Stewart) в блоге проекта Mageia сообщил о том, что некий злоумышленник получил доступ к базе данных LDAP проекта и опубликовал имена, электронные адреса и хеши паролей пользователей, зарегистрированных на https://identity.mageia.org. Однако хэши были выложены в изменённом виде, поэтому руководство проекта Mageia не уверено, были ли скомпрометированы реальные пароли.

Как уверяет руководство проекта, все пароли хранятся в только виде хэша с использованием «соли», что существенно затрудняет восстановление злоумышленником паролей. Тем не менее, все пароли были сброшены, для восстановления доступа нужно воспользоваться сбросом забытого пароля. Привилегированные пользователи должны обратиться к администратору для восстановления доступа.

Руководство проекта Mageia приносит извинения за возможные проблемы и неудобства.

>>> Подробности

Неужели все 1,5 пароля выложили? Вот незадача!

anonymous ()

Однако хэши были выложены в изменённом виде

Интересно, зачем? Почта и имена, кмк, более конфиденциальны чем хэш пароля.

micronekodesu ()

Слово дня: компрометировать.

Centaur ()
Ответ на: комментарий от micronekodesu

чтобы не дать проверить дату взлома?

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

Неужели все 1,5 пароля выложили

да, мандрейк уже не торт

upcFrost ★★★★★ ()
Ответ на: комментарий от anonymous

Неужели все 1,5 пароля выложили? Вот незадача!

Нет, их там много.

Odalist ★★★★★ ()
Ответ на: комментарий от upcFrost

да, мандрейк уже не торт

Она давно уже не торт, а тем более Mageia.

Odalist ★★★★★ ()

А вообще, есть такая необходимость выставлять сервер LDAP в Интенет? IMHO он должен находиться внутри локальной сети, а публичные серверы этой организации обращаться к нему через локалку.

Odalist ★★★★★ ()

пользователей десяточки когда-нибудь выложат?

anonymous ()
Ответ на: комментарий от Odalist

В 2005 мандрива была круче убунты. Правда третьекеды с'едали всю оперативу. В прочем ничего не изменилось (у кед)

anonymous ()
Ответ на: комментарий от Odalist

Ты комменты сразу и сюда, и в опеннет строчишь?

anonymous ()
Ответ на: комментарий от Odalist

Да мандрейк никогда не был тортом. Красивый инсталлятор и полторы графических конфигурялки это не то, сто нужно суровым одминам...

AVL2 ★★★★★ ()

Этим кто то пользуется? Пробовал поставить на внешний HDD 3 раза,не взлетело

playX ★★ ()

в только виде хэша

Только не заржать, только не... И-го-го! ..Фух, у вас свой мэр Киева есть, товарищи :).

anonymous ()

Помню угнали логины и пароли qt. Таже ситуация. Всем пофиг.

rj45 ()

Собираем, собираем компромат! Будет больно кому-то (

Nougatman ()

Я давно говорил. Если пользуешься Линукс, пользуйся только теми дистрибутивами, которые поддерживает Майкрософт

anonymous ()
Ответ на: комментарий от h578b1bde

Чего ждём то?

Как бэ и раньше Ubuntu собирала давным-давно краш репорты по приложениям.

fornlr ★★★★★ ()
Ответ на: комментарий от anonymous

Ну теперь линя можно прямо в десяточке вертеть

anonymous ()
Ответ на: комментарий от fornlr

причем такое ощущение что хранит их в /dev/null, судя по годами длящимся танцам с репортами про atop

af5 ★★★★★ ()
Ответ на: комментарий от Odalist

Судя по утраченным хешам они не только 389 для ldapsearch забыли закрыть они еще банально в лдапе acl не настроили ...

mx__ ★★★★ ()
Ответ на: комментарий от imul

А то, хотел получить стабильный RPM дистрибутив,но не вышло

playX ★★ ()

Зачем кому-то пустая база? О_о

IPR ★★★★ ()
Ответ на: комментарий от fornlr

Выходит, опять безопасность под угрозой

af5 ★★★★★ ()

Репутация подмочена.

Pyzia ★★★★ ()
Ответ на: комментарий от mx__

Судя по утраченным хешам они не только 389 для ldapsearch забыли закрыть они еще банально в лдапе acl не настроили ...

Слоупоки....

Odalist ★★★★★ ()
Ответ на: комментарий от Odalist

Неужели все 1,5 пароля выложили? Вот незадача!

Нет, их там много.

пять?

gray ★★★★★ ()

ээ
а зачем они там регистрировались?
п.с. то ли дело вконтакт или телеграм, там люди добровольно почту и номер телефона выкладывают!

darkenshvein ★★★★ ()
Ответ на: комментарий от Odalist

А вообще, есть такая необходимость выставлять сервер LDAP в Интенет?

Конечно, есть. Корпоративные пользователи не в состоянии запомнить, а тем более, записать, более одного пароля «от компьютера». При этом им нужно работать из дома, с ноутбука, а в командировках в интернет-кафе заходить на веб-морду почтового сервера. И они тебя с гавном съедят если ты будешь пытаться навязать им что-то более сложное. Тебя скорее уволят с формулировкой «профнепригодность» потому что по их мнению ты не можешь настроить сервиса как надо, и компосируешь всем мозги.

Xintrea ★★★★★ ()
Ответ на: комментарий от Xintrea

И при чем тут выставление LDAP-сервера в Интернет?

t184256 ★★★★★ ()
Ответ на: комментарий от Xintrea

Внимательно слушай. С гавном не едят, а мешают.

anonymous ()

Мда. А зачем там вообще они регистрировались?

pyroman ()
Ответ на: комментарий от gray

пять?

Как у Пратчетта: «один, два, три, много, много один, много два...»

anonymous ()

все пароли хранятся в только виде хэша с использованием «соли»

как они их потом проверяют? соль одна и та же везде?

MyTrooName ★★★★★ ()
Ответ на: комментарий от playX

А я ставил 2 раза на десктоп и ноут.

Все поставилось с первого раза, дистрибутив понравился.

awesomenickname ★★★★ ()
Ответ на: комментарий от Xintrea

Корпоративные пользователи не в состоянии запомнить

Тут корпоративными пользователями и не пахнет...

Odalist ★★★★★ ()
Ответ на: комментарий от awesomenickname

Я ставил на внешний HDD, видимо в этом проблема

playX ★★ ()
Ответ на: комментарий от anonymous

Правда третьекеды с'едали всю оперативу.


Все 64МБ?

madcore ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.