LINUX.ORG.RU

Apache.org взломан

 , , , ,


0

0

5 апреля 2010 года хакеры проникли на сервера Apache Foundation, используя уязвимость XSS в багтрекере Atlassian Jira и переадресацию TinyURL. Атаке подвергся сервер brutus.apache.org, программное обеспечение которого использовалось для обратной связи с пользователями (хостинг Jira и Bugzilla). Вследствие данного нападения, похищены пользовательские пароли.

Как заявляют в Apache, пароли были зашифрованы (алгоритм SHA-512), но тем не менее, вероятность взлома простых паролей на словарной основе весьма высока, и пользователям настоятельно рекомендуется незамедлительно сменить пароли. «Кроме того, если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа», сообщили представители компании.

>>> Подробности



Проверено: boombick ()

Ответ на: комментарий от Kosyak

Толсто.

http://blogs.zdnet.com/security/?p=6123

On April 5th, the attackers via a compromised Slicehost server opened a new issue, INFRA-2591. This issue contained the following text:

ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX [obscured]

Tinyurl is a URL redirection and shortening tool. This specific URL redirected back to the Apache instance of JIRA, at a special URL containing a cross site scripting (XSS) attack. The attack was crafted to steal the session cookie from the user logged-in to JIRA. When this issue was opened against the Infrastructure team, several of our administators clicked on the link. This compromised their sessions, including their JIRA administrator rights.

Стырили куки. Убунта не при делах вообще.

yirk ★★★ ()
Ответ на: комментарий от yirk

Да, походу теперь на ЛОРе надо всегда подписывать САРКАЗМ. Конечно, убунта тут не причем.

Kosyak ★★★★ ()

Умеют же люди. Неплохо, неплохо. Да, РЕШЕТО!. :}

Insomnium ★★★★ ()

Уязвимость на сайте, а тут такую трагедию расписали...

f3ex ★★ ()

Ну, признавайтесь же, кто апач хакнул?

Lennox ★★★★★ ()
Ответ на: комментарий от boombick

На первом, но только если в кавычки взять, и только потому, что на других сайтах вообще нет.

Но вообще гугль да, успевает.

queen3 ★★★★★ ()

> похищены пользовательские пароли
Они хранят пользовательские пароли в /etc/shadow? XXI век на дворе...

Lumi ★★★★★ ()

> хакеры

Неплохо бы сменить на «взломщики». Только не «кракеры» и тем боле не «крекеры», как в унылом переводе унылой статьи ESR.

проникли на сервера Apache Foundation, используя уязвимость XSS

LOLWUT? С помощью XSS можно только пароли украсть в момент воода.

anonymous ()

Крекеры! Кто-нибудь, снимите их с меня!

Jayrome ★★★★★ ()
Ответ на: комментарий от anonymous

> LOLWUT? С помощью XSS можно только пароли украсть в момент воода.

Утянули пароль администратора веб-сервисов, пользуясь его правами залили на сервер свой код

maxcom ★★★★★ ()

если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа

Как минимум три дня никто не знал о взломе сервера. Админы, тоже мне.

name_no ★★ ()
Ответ на: комментарий от boombick

>Пять минут с момента поста прошло, а этот топик на втором месте в гугле по запросу facepalm.ascii.txt

Уже на первом %)

Alex007 ()

> если Вы вошли в систему, например, Apache JIRA, с 6 по 9 апреля, вероятнее всего, Ваш пароль под угрозой, так как нападавшие изменили форму LOGIN для входа», сообщили представители компании.

OMG! facepalm.ansi.tgz :) За севаком вообще кто-нибудь следит?

helios ★★★★★ ()

Мда, сайты линуксовых проектов начали активно взламывать. Что ж, ждем новость про kernel.org

OxED ()

Ну это же кощунство. Не?
Взломщики, какие взломщики. Падонки. Найти и уничтожить.

timbor ()

Могли бы использовать salt при хешировании паролей. Тогда бы подбор по словарю был бы не возможен.

Mentis ()
Ответ на: Re: Apache.org взломан от solid

> А написан багтрекер, конечно же, на пехапе, да?

не угадал

JIRA, со взлома которой все началось, написана на яве, и хранит хэши без соли. Ъ энтерпрайз :-)

www_linux_org_ru ★★★★★ ()
Ответ на: комментарий от www_linux_org_ru

Re: Apache.org взломан

> XSS

написана на яве

Неужели они пишут без какого-нибудь template engine?
У меня просто не укладывается это в голове. Как вообще можно допустить XSS?

solid ()

Интересно, кому это могло понадобиться..

Laz ★★★★★ ()
Ответ на: комментарий от anonymous

Как обычно дискриминация анонимусов.

anonymous ()
Ответ на: комментарий от yirk

>Tinyurl is a URL redirection and shortening tool.

Tinyurl

Tinyurl



Всегда знал что оно зло ненужное, для лентяев, ссылки им длинные, куда там, все равно мышью копируется.

anonymous ()
Ответ на: комментарий от OxED

>Что ж, ждем новость про kernel.org

Да его итак они сами ломают, заходил недели 2 назад, а там буквы перевернутые были.

anonymous ()

Вот в принципе и суть открытости - видны все недостатки. Ошибки исправляются намного быстрее, если не bugreport'ы слать, а атаковать напрямую...

postrediori ()

Ну вот, скоро специалисты по безопасности свободных программ будут цениться как хорошие бриллианты.

valich ★★★ ()

Tinyurl --- это «ls от рута» 21 века!

sv75 ★★★★★ ()
Ответ на: комментарий от helios

>За севаком вообще кто-нибудь следит?

Обязательно. Полусонный студент под пивко. Опенсорс ведь.

Молитесь, что б Линукс не пошел в массы, а то вирусы будем не по интернет-страничках цеплять, а прямо скачивать с обновлениями с вот таких вот официальных серваков.

anonymous ()
Ответ на: комментарий от anonymous

>Всегда знал что оно зло ненужное, для лентяев, ссылки им длинные, куда там, все равно мышью копируется.

facepalm.cpp А как же lmgtfy.com, чтобы скрыть от жертвы запрос в URL?

Mr-Sinister ()
Ответ на: комментарий от Mr-Sinister

facepalm.koi8-r.xz А мы по другую сторону работаем.

anonymous ()
Ответ на: круто поимели от splinter

splinter> круто поимели

Когда взломщиков найдут, их будут иметь ещё жёстче. И вазелин им не поможет.

Quasar ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.