LINUX.ORG.RU

Скомпрометирована база пользователей Mageia

 , , ,


0

0

Дональд Стюарт (Donald Stewart) в блоге проекта Mageia сообщил о том, что некий злоумышленник получил доступ к базе данных LDAP проекта и опубликовал имена, электронные адреса и хеши паролей пользователей, зарегистрированных на https://identity.mageia.org. Однако хэши были выложены в изменённом виде, поэтому руководство проекта Mageia не уверено, были ли скомпрометированы реальные пароли.

Как уверяет руководство проекта, все пароли хранятся в только виде хэша с использованием «соли», что существенно затрудняет восстановление злоумышленником паролей. Тем не менее, все пароли были сброшены, для восстановления доступа нужно воспользоваться сбросом забытого пароля. Привилегированные пользователи должны обратиться к администратору для восстановления доступа.

Руководство проекта Mageia приносит извинения за возможные проблемы и неудобства.

>>> Подробности



Проверено: jollheef ()
Последнее исправление: cetjs2 (всего исправлений: 3)

Однако хэши были выложены в изменённом виде

Интересно, зачем? Почта и имена, кмк, более конфиденциальны чем хэш пароля.

micronekodesu ★★★
()

А вообще, есть такая необходимость выставлять сервер LDAP в Интенет? IMHO он должен находиться внутри локальной сети, а публичные серверы этой организации обращаться к нему через локалку.

Odalist ★★★★★
()

пользователей десяточки когда-нибудь выложат?

anonymous
()
Ответ на: комментарий от Odalist

В 2005 мандрива была круче убунты. Правда третьекеды с'едали всю оперативу. В прочем ничего не изменилось (у кед)

anonymous
()
Ответ на: комментарий от Odalist

Да мандрейк никогда не был тортом. Красивый инсталлятор и полторы графических конфигурялки это не то, сто нужно суровым одминам...

AVL2 ★★★★★
()

в только виде хэша

Только не заржать, только не... И-го-го! ..Фух, у вас свой мэр Киева есть, товарищи :).

anonymous
()

Помню угнали логины и пароли qt. Таже ситуация. Всем пофиг.

Deleted
()

Мы все умрем, что тут ещё сказать.

Vavavalman
()

Собираем, собираем компромат! Будет больно кому-то (

Nougatman
()

Я давно говорил. Если пользуешься Линукс, пользуйся только теми дистрибутивами, которые поддерживает Майкрософт

anonymous
()
Ответ на: комментарий от anonymous

Ну теперь линя можно прямо в десяточке вертеть

anonymous
()
Ответ на: комментарий от fornlr

причем такое ощущение что хранит их в /dev/null, судя по годами длящимся танцам с репортами про atop

af5 ★★★★★
()
Ответ на: комментарий от Odalist

Судя по утраченным хешам они не только 389 для ldapsearch забыли закрыть они еще банально в лдапе acl не настроили ...

mx__ ★★★★★
()
Ответ на: комментарий от imul

А то, хотел получить стабильный RPM дистрибутив,но не вышло

playX ★★
()

Зачем кому-то пустая база? О_о

IPR ★★★★★
()
Ответ на: комментарий от fornlr

Выходит, опять безопасность под угрозой

af5 ★★★★★
()

Репутация подмочена.

Pyzia ★★★★★
()
Ответ на: комментарий от mx__

Судя по утраченным хешам они не только 389 для ldapsearch забыли закрыть они еще банально в лдапе acl не настроили ...

Слоупоки....

Odalist ★★★★★
()

ээ
а зачем они там регистрировались?
п.с. то ли дело вконтакт или телеграм, там люди добровольно почту и номер телефона выкладывают!

darkenshvein ★★★★★
()
Ответ на: комментарий от Odalist

А вообще, есть такая необходимость выставлять сервер LDAP в Интенет?

Конечно, есть. Корпоративные пользователи не в состоянии запомнить, а тем более, записать, более одного пароля «от компьютера». При этом им нужно работать из дома, с ноутбука, а в командировках в интернет-кафе заходить на веб-морду почтового сервера. И они тебя с гавном съедят если ты будешь пытаться навязать им что-то более сложное. Тебя скорее уволят с формулировкой «профнепригодность» потому что по их мнению ты не можешь настроить сервиса как надо, и компосируешь всем мозги.

Xintrea ★★★★★
()
Ответ на: комментарий от Xintrea

И при чем тут выставление LDAP-сервера в Интернет?

t184256 ★★★★★
()
Ответ на: комментарий от gray

пять?

Как у Пратчетта: «один, два, три, много, много один, много два...»

anonymous
()

все пароли хранятся в только виде хэша с использованием «соли»

как они их потом проверяют? соль одна и та же везде?

MyTrooName ★★★★★
()
Ответ на: комментарий от Xintrea

Корпоративные пользователи не в состоянии запомнить

Тут корпоративными пользователями и не пахнет...

Odalist ★★★★★
()
Ответ на: комментарий от awesomenickname

Я ставил на внешний HDD, видимо в этом проблема

playX ★★
()
Ответ на: комментарий от anonymous

Правда третьекеды с'едали всю оперативу.


Все 64МБ?

madcore ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.