dodany: 30.05.2013 | tagi: , ,

Autor:

Użytkownicy Drupala zmieńcie swoje hasło

0

Zespół bezpieczeństwa drupal.org powiadomił o nieautoryzowanym dostępie do ich serwisu, a także do groups.drupal.org. Włamywacze mogli uzyskać dostęp do danych zawierających informacje o użytkownikach, tj. ich nazwę, kraj zamieszkania, e-mail, a także zahaszowane hasło. Łącznie w serwisie drupal.org zarejestrowanych jest około 967 tysięcy użytkowników. Na szczęście na atakowanym serwerze nie były przechowywane informacje związane z płatnościami kartami kredytowymi.

Administratorzy zresetowali wszystkie hasła do systemu i to samo zalecają swoim użytkownikom – najlepiej to zrobić bezpośrednio przez stronę drupal.org/user/password. Oczekiwanie na e-mail aktywujący nowe hasło może trwać nawet do godziny w związku z dużą ilością żądań resetu.

Atak nastąpił przez wykorzystanie słabości w aplikacji dostarczonej przez zewnętrzną firmę, która była zainstalowana na serwerze drupal.org. Sam problem nie leży w oprogramowaniu Drupal, także wszyscy użytkownicy posiadający zainstalowanego CMS-a we własnej domenie nie mają się czego obawiać. Zespół ludzi odpowiedzialnych za bezpieczeństwo serwisu skontaktował się z wydawcą owej aplikacji, w celu usunięcia problemu – niestety więcej informacji nie udzielono.

Administratorzy serwisu Drupal we współpracy z firmą hostingową OSU Open Source Lab podjęli także kroki bezpieczeństwa minimalizujące powtórzenie się tego typu wpadki.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *