URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 89962
[ Назад ]
Исходное сообщение
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено opennews , 10-Май-13 11:28 
Робин Бергерон (Robyn Bergeron), лидер проекта Fedora, опубликовал (http://lists.fedoraproject.org/pipermail/announce/2013-May/0...) уведомление о выявлении ошибки в системе управления аккаунтами разработчиков дистрибутива, которая могла привести к утечке данных об учётных записях  разработчиков проекта, на стадии, когда аккаунты ещё не прошли подтверждение. Среди информации, которая могла попасть не в те руки присутствуют хэши паролей (SHA-512 с солью), тайные вопросы и ответы для восстановления пароля и персональные данные.


Отмечается, что проблема присутствует в инфраструктуре с 2008 года, но эксплуатация уязвимости возможна только с использованием аккаунта авторизированного пользователя. Для эксплуатации уязвимости было достаточно отправить к скрипту экспорта данных в формате JSON специально оформленный запрос вывода списка неподтверждённых записей, который приводил к выводу всех полей, в том числе закрытых. Предварительный анализ логов первичной системы управления аккаунтами  не выявил активности, свидетельствующей о проведении атак, использующих данную уязвимость. При этом для вспомогательных систем получить подтверждение об отсутствии утечки информации не удалось из-за отсутствия ведения необходимых логов.


В связи с обнаруженной проблемой, всем пользователям, имеющим аккаунты в инфраструктуре Fedora, рекомендовано, но не навязывается, произвести смену паролей и обновить вопросы/ответы для восстановления доступа.


URL: http://lists.fedoraproject.org/pipermail/announce/2013-May/0...
Новость: http://www.opennet.me/opennews/art.shtml?num=36901

Содержание
Сообщения в этом обсуждении
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено Клыкастый , 10-Май-13 11:28 
аудит, аудит, аудит.
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено Аноним , 10-Май-13 11:30 
Девелоперс, девелоперс, девелоперс
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено Аноним , 10-Май-13 14:24 
Чтоб ему чёрт приснился, вашему Балмеру!
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено Аноним , 10-Май-13 14:38 
> Чтоб ему чёрт приснился, вашему Балмеру!

Я думаю, они ему не только снятся ;)

"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено Аноным , 10-Май-13 17:50 
Он сам чёрт.
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено SubGun , 10-Май-13 11:59 
Уязвимость существует 5 лет уже, прикольно)
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено Аноним , 10-Май-13 14:23 
А они ещё хотят пароль открытым показывать, вместо звёздочек...
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено anonymous , 10-Май-13 15:28 
> А они ещё хотят пароль открытым показывать, вместо звёздочек...

Изверги. В биореактор.

"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено linux must _RIP_ , 10-Май-13 18:26 
и эти люди пытаются указывать остальным как жить ?:)
"В инфраструктуре проекта Fedora выявлены проблемы с безопасн..."
Отправлено Аноним , 11-Май-13 21:37 
Не только пытаются, но и вполне успешно указывают.