Компания Canonical сообщила (http://insights.ubuntu.com/2016/07/15/notice-of-security-bre.../) о взломе официального форума дистрибутива Ubuntu - ubuntuforums.org. В результате инцидента атакующими смогли получить доступ к СУБД и выполнить произвольные SQL-запросы к БД форума. 14 июля в компанию Canonical поступило уведомление от участников форума о том, что один из пользователей небездоказательно заявил о наличии копии БД сайта. Проверка подтвердила, что имела место утечка данных.

Атака была совершена через неисправленную уязвимость в вовремя необновлённом дополнении Forumrunner к используемому на форуме движку vBulletin. Уязвимость позволяла выполнить произвольный SQL-код, чем и воспользовался атакующий для загрузки содержимого таблиц с параметрами пользователей и логом, включающим IP-адреса участников обсуждений. Всего утечка затронула персональные данные примерно 2 млн пользователей форума.

Примечательно, что ровно три года назад, 14 июля 2013 года  произошёл (https://www.opennet.me/opennews/art.shtml?num=37553) аналогичный инцидент, в результате которого злоумышленники воспользовались уязвимостью в форумном движке vBulletin для загрузки базы пользователей. В процессе восстановления прошлого взлома, разработчики перевели форум на использование централизованной  аутентификации через сервис Ubuntu Single Sign On, поэтому при нынешнем взломе атакующие смогли добраться только до таблицы с такими параметрами как имя и email, не содержащей реальные хэши паролей (в таблице был сохранены хэши от случайных строк).

В настоящее время работа форума восстановлена из резервной копии, уязвимость устранена и предприняты меры по увеличению безопасности. В частности, для блокирования возможных атак установлен модуль ModSecurity. Также организовано отслеживание своевременной установки исправлений к vBulletin.

Отмечается, что администраторы форума уверены в том, что атакующие не смогли получить доступ к репозиториям Ubuntu, механизму обновлений и реальным паролям пользователей. С меньшей долей уверенности (в заявлении использована формулировка "мы полагаем") заявлено о том, что атака ограничилась чтением данных из СУБД и не затронула другие сервисы Canonical и Ubuntu, а  атакующие не модифицировали данные в БД, не получили shell-доступ на серверах с сайтом и СУБД.

URL: http://insights.ubuntu.com/2016/07/15/notice-of-security-bre.../
Новость: http://www.opennet.me/opennews/art.shtml?num=44793

• Взломан официальный форум проекта Ubuntu,Аноним, 20:10 , 15-Июл-16
  • Взломан официальный форум проекта Ubuntu,demimurych, 20:54 , 17-Июл-16
• Взломан официальный форум проекта Ubuntu,Ursadon, 20:24 , 15-Июл-16
  • Взломан официальный форум проекта Ubuntu,iPony, 19:14 , 16-Июл-16
  • Взломан официальный форум проекта Ubuntu,hmst, 10:03 , 26-Авг-16
• Взломан официальный форум проекта Ubuntu,Аноним, 20:27 , 15-Июл-16
• Взломан официальный форум проекта Ubuntu,Дуплик, 21:00 , 15-Июл-16
  • Взломан официальный форум проекта Ubuntu,Аноним, 21:31 , 15-Июл-16
  • Взломан официальный форум проекта Ubuntu,Аноним, 21:33 , 15-Июл-16
  • Взломан официальный форум проекта Ubuntu,th3m3, 22:09 , 15-Июл-16
    • Взломан официальный форум проекта Ubuntu,Аноним, 15:20 , 16-Июл-16
  • Взломан официальный форум проекта Ubuntu,Аноним, 21:52 , 16-Июл-16
• Взломан официальный форум проекта Ubuntu,Интересующийся, 21:34 , 15-Июл-16
• Взломан официальный форум проекта Ubuntu,Аноним, 21:52 , 15-Июл-16
• Взломан официальный форум проекта Ubuntu,Oleg, 22:04 , 15-Июл-16
  • Взломан официальный форум проекта Ubuntu,KnR, 23:45 , 15-Июл-16
    • Взломан официальный форум проекта Ubuntu,Аноним, 23:56 , 15-Июл-16
      • Взломан официальный форум проекта Ubuntu,KnR, 23:57 , 15-Июл-16
  • Взломан официальный форум проекта Ubuntu,Аноним, 13:21 , 17-Июл-16
• Взломан официальный форум проекта Ubuntu,Аноним, 04:20 , 16-Июл-16
  • Взломан официальный форум проекта Ubuntu,Гентушник, 10:19 , 16-Июл-16
  • Взломан официальный форум проекта Ubuntu,омномномнимус, 15:33 , 16-Июл-16
  • Взломан официальный форум проекта Ubuntu,chinarulezzz, 16:52 , 17-Июл-16
• Взломан официальный форум проекта Ubuntu,Алексей, 06:49 , 16-Июл-16
• Взломан официальный форум проекта Ubuntu,djoe, 08:51 , 16-Июл-16
• Взломан официальный форум проекта Ubuntu,Аноним, 16:37 , 16-Июл-16
• Взломан официальный форум проекта Ubuntu,Michael Shigorin, 17:29 , 16-Июл-16
  • Взломан официальный форум проекта Ubuntu,cmp, 02:53 , 17-Июл-16
  • Взломан официальный форум проекта Ubuntu,_Vitaly_, 04:57 , 17-Июл-16
• Взломан официальный форум проекта Ubuntu,Anon1, 22:57 , 16-Июл-16
• Взломан официальный форум проекта Ubuntu,Онаним, 01:44 , 18-Июл-16
• Взломан официальный форум проекта Ubuntu,Аноним, 09:44 , 18-Июл-16

Хеши от случайных строк

новость не читай - комментарий пиши

Хых, фортануло ребятам из каноникала!
Ожидал, что через основной форум, залезут в какой-нить их древний форум, оттуда вытянут пароли мэйнтейнеров, затем надругаются над системой сборки релизов и выкладут свою версию дистриба. "Улучшенную и дополненную". Попутно уводя пароли электропочты и регистрируясь под ними на ресурсах для ЛГБТ.

Но вытащили хэши :\

Ну так не Mint же...

"Выкладут"

> 14 июля в компанию Canonical поступило уведомление от участников форума о том, что один из пользователей небездоказательно заявил о наличии копии БД сайта.

xxx> Напешите IP какова небудь лоха?
yyy> 127.0.0.1
xxx> Спасиба
xxx> Сча оно падохнет
xxx вышел из чата

Дали OpenSource-форумные движки. Дали им исходники LOR. Нет, не хотим, хотим жрать проприетарное vBulletin / IPB.

Горите в аду, в который вы сами и вступили.

Ну лицемеры обыкновенные. Продвигать СПО и юзать проприетарщину самим...

> Maintenance
> Down for maintenance

kernel.org на каком проприетарном ПО работал? Ой, или уязвимости есть и в попенсорс, и в проприетари?

Это говорит о том, что системные разработчики не шарят в вебе и используют всякий поприетарный ширпотреб на php.

... потому что не догадываются, что и веб-разработчики тоже не шарят в вебе.

Опенсорсные разные есть. phpbb еще хуже, клоака примерно уровня ipb.

Discourse - хороший.

Вот мне интересно... Вот что им с этого? Зачем?
Дурдом.

Мда... Какая ещё санитизация запросов? Фигак-фигак - и в продакшен.

> в таблице вместо хэшей от паролей были сохранены хэши от случайных строк

зачем?

Зато пароли не утекут

Наивный планктон!

Я очень надеюсь, что сарказм ты уловил.

Чтобы хэккеры зря мучали ненастоящие хэши в попытке получить пароли.

Вывод - в больших проектах нужно юзать собственные движки, где о багах знаешь только сам.

Security by obscurity.

Следуя твоей логике все встроенные системы должны писаться с нуля, а не подстраивать под свои нужды линукс

чревато тем, что и хакеры найдут, и сам не будешь знать.

Такие ошибки могут себе позволить форумы с посещаемостью в 5 человек. Если уж здесь такие ляпы, то вопрос о "значимости" сертификации от этой компании встаёт в другом свете. :)

А судьи кто?...

Кто тама бочку катил на Лефевра? Якобы де он лох, у него сайт взломали. Получите, распишитесь..

Лицензия Коммерческая
Сайт vbulletin.com
вотэтожесть, будем знать

> В частности, для блокирования возможных атак установлен модуль ModSecurity.

Они же правда в курсе, что там одной установкой не отделаешься?..

Не ну, через 3 года еще настроят.

Вобла уже давно безнадежна, с 4 версии, когда ее купили эффективные менеджеры. Стоковый дизайн делали люди с серьезными проблемами. А внутри там совсем понос.

Мой пароль подошёл бы только для сервиса Ubuntu Single Sign On. Пользуйтесь разными паролями для каждого сайта =)

Кому нужны эти ретроградские форумы в 21-м веке, когда есть askubuntu.com? Хорошо, что хоть не BBS крякнули...

> уязвимость устранена и предприняты меры по увеличению безопасности

Сколько уже такого было... Твердят о безопасности, а сами же не соблюдают элементарных правил (хотя бы своевременного обновления). Ладно бы 0day уязвимость поюзали. Короче, в каком-то смысле так им и надо. Может в следующий раз не будут наступать на те же грабли.