Drupal.org подвергся взлому, база пользователей скомпрометирована

30.05.2013 22:23

Разработчики популярной платформы для управления web-контентом Drupal сообщили об инциденте, в результате которого был совершён взлом cерверов, обслуживающих web-сайт проекта и дискуссионную площадку groups.drupal.org. В результате атаки злоумышленникам удалось получить доступ к базе пользователей Drupal.org, которая насчитывает около миллиона учётных записей, включающих персональные данные пользователей и хэшированные пароли.

Сообщается, что не исключена утечка иных данных проекта, но параметры кредитных карт пользователей не размещались на взломанном сервере, поэтому их попадание в руки злоумышленников оценивается как маловероятное. Теоретически на взломанном сервере мог быть организован перехват вводимых номеров карт, свидетельствующих о таком перехвате фактов не выявлено. Также опасение не вызывает целостность кодовой базы Drupal, так как её легко проверить путём сверки с содержимым внешних репозиториев.

В анонсе подчёркивается, что взлом был совершён через эксплуатацию уязвимости в используемом на сервере стороннем ПО, а не через проблему безопасности в платформе Drupal. Через какое именно приложение был осуществлён взлом не сообщается до устранения уязвимости в данном ПО, но судя по всему речь идёт о какой-то популярной системе, используемой на многих серверах.

Взлом был выявлен в процессе проведения аудита безопасности серверов, который показал наличие файлов, используемых для выгрузки базы пользователей. Процесс проверки других серверов не выявил следов проникновения. Для исключения подобных инцидентов в будущем решено установить на серверы проекта ядро с патчами Grsecurity и задействовать более надёжную схему хэширования паролей. Основная масса паролей хранилась в виде хэшей с "солью" (для хэширования использовался модуль PHPass), но некоторые старые пароли оставались в базе без "соли".

В связи с инцидентом принято решение о сбросе всех паролей и инициировании мероприятия по смене паролей пользователями. В настоящее время все аккаунты заблокированы, для разблокировки доступа пользователю следует поменять пароль на специальной странице сайта (новый пароль будет сгенерирован автоматически и отправлен на email). Пользователям использующим одинаковые пароли на нескольких сайтах, рекомендуется поменять пароль и в других местах.

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/37057-drupal

Ключевые слова: drupal, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (34)

1.1, хрюкотающий зелюк (?), 23:09, 30/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
опять 25? или мне показалось что его недавно тоже ломали?

2.8, freehck (ok), 00:17, 31/05/2013 [^] [^^] [^^^] [ответить]	–9 +/–
Ну так это же вебники. Они все на одно лицо. Когда вебники писали хороший код? Да никогда такого не было. Вот потому-то их и ломают постоянно. Что одних, что других. Словом, всяких.

3.12, 80е (?), 03:34, 31/05/2013 [^] [^^] [^^^] [ответить]	–2 +/–
> Ну так это же вебники. Они все на одно лицо. > Когда вебники писали хороший код? Да никогда такого не было. > Вот потому-то их и ломают постоянно. Что одних, что других. Словом, всяких. А у кого код хороший? Покажи, сломаю.

4.17, crypt (??), 08:18, 31/05/2013 [^] [^^] [^^^] [ответить]	+1 +/–
https://github.com/skroll/openssh-git

3.21, freehck (ok), 11:56, 31/05/2013 [^] [^^] [^^^] [ответить]	–5 +/–
> Ну так это же вебники. Они все на одно лицо. > Когда вебники писали хороший код? Да никогда такого не было. > Вот потому-то их и ломают постоянно. Что одних, что других. Словом, всяких. Почему я не удивлен, что меня так яро заминусовали? =)

4.23, dq0s4y71 (??), 12:30, 31/05/2013 [^] [^^] [^^^] [ответить]	+4 +/–
Потому что толсто троллите. Впрочем, если бы вы тонко троллили, вас бы всё равно заминусовали :)

5.26, freehck (ok), 13:57, 31/05/2013 [^] [^^] [^^^] [ответить]	–1 +/–
> Потому что толсто троллите. Впрочем, если бы вы тонко троллили, вас бы > всё равно заминусовали :) Троллю? Да ладно, кого? Ну, зато теперь хотя бы ясно число вебников на опеннете.

6.29, Аноним (-), 16:45, 31/05/2013 [^] [^^] [^^^] [ответить]	+2 +/–
Тогда покажи свой код. Ты ведь никогда не ошибаешься, зелененький?

7.37, Аноним (-), 11:49, 03/06/2013 [^] [^^] [^^^] [ответить]	–1 +/–
> Тогда покажи свой код. Ты ведь никогда не ошибаешься, зелененький? А ты - свой. "Спердо". И будете квиты. Замечание специально для тебя, недоносок: Чтобы критиковать книгу - писателем быть совсем не обязательно. Смекаешь, не?

8.40, Аноним (-), 16:48, 06/06/2013 [^] [^^] [^^^] [ответить]	+/–
Ты первый, а затем и я Ты же толстишь, не я ... текст свёрнут, показать

8.41, бедный буратино (ok), 17:05, 06/06/2013 [^] [^^] [^^^] [ответить]	+/–
Обычно для этого достаточно быть глупым ... текст свёрнут, показать

1.2, lucentcode (ok), 23:10, 30/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Пора им перейти на Gentoo Hardened, и тщательнее выбирать используемое ПО.

2.31, 80е (?), 21:00, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
На сам деле хорошо помогает аудит трафика. Заааадолго до взлома поступает масса информации об атакующих и их методах. Я от бразильерос сумел отбить несколько площадок только снортом и парсерами логов снорта.

1.3, Аноним (-), 23:16, 30/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
и Drupal, как и Wordpress не устоял. Интересно было бы про подробности взлома почитать

2.11, Wolfis (ok), 01:34, 31/05/2013 [^] [^^] [^^^] [ответить]	+5 +/–
Причём тут друпал и вордпресс? Написано русским по фону, что уязвимость в сервере, а не коде друпала.

3.20, Sylvia (ok), 08:53, 31/05/2013 [^] [^^] [^^^] [ответить]	+/–
>We have worked with the vendor to confirm it is a known vulnerability and has been publicly disclosed. причем похоже что 0day, поэтому не признались что именно за софтина

1.4, Аноним (-), 23:23, 30/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Grsecurity не поможет от кривых скриптов

2.9, попо (?), 00:38, 31/05/2013 [^] [^^] [^^^] [ответить]	+1 +/–
не читатель? кто сказал что уязвимость в скриптах?

2.13, 80е (?), 03:40, 31/05/2013 [^] [^^] [^^^] [ответить]	–5 +/–
> Grsecurity не поможет от кривых скриптов Grsecurity ПОМОЖЕТ ОТО ВСЕГО, ибо, кагбе, представляет собою MAC.

3.38, Anon97747 (?), 12:49, 03/06/2013 [^] [^^] [^^^] [ответить]	+/–
>> Grsecurity не поможет от кривых скриптов > Grsecurity ПОМОЖЕТ ОТО ВСЕГО, ибо, кагбе, представляет собою MAC. Не поможет как минимум от уязвимости в ядре.

4.39, Аноним (-), 16:49, 03/06/2013 [^] [^^] [^^^] [ответить]	+/–
KSplice Uptrack https://www.digitalocean.com/community/articles/how-to-upgrade-your-kernel-wit

1.5, анон (?), 23:30, 30/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
расстрельный список составлен

1.6, Нанобот (?), 23:44, 30/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>но судя по всему речь идёт о какой-то популярной системе, используемой на многих серверах. пэхопэ?

1.7, Аноним (-), 23:56, 30/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Ну вот, только хотел с Rails перейти

2.36, труляля (?), 01:32, 03/06/2013 [^] [^^] [^^^] [ответить]	+/–
дядя Петя, ты дурак?

1.10, Сергей (??), 00:46, 31/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Аноноботы дальше заголовка новости не читают, видно.

2.16, Аноним (-), 08:03, 31/05/2013 [^] [^^] [^^^] [ответить]	+1 +/–
У них же наномозг и нанообъём памяти :)

3.35, umbr (ok), 20:55, 02/06/2013 [^] [^^] [^^^] [ответить]	+1 +/–
им просто некогда ;)

1.25, Аноним (-), 12:36, 31/05/2013 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
>Через какое именно приложение был осуществлён взлом не сообщается до устранения уязвимости в данном ПО, но судя по всему речь идёт о какой-то популярной системе, используемой на многих серверах. >Drupal - Open Source CMS Охрененное опенсорц сообщество. Что значит "не сообщается"?! Раз это, как они говорят, "популярная система, используемая на многих серверах", то и другие могут быть взломаны...

2.27, ананим (?), 14:46, 31/05/2013 [^] [^^] [^^^] [ответить]

+/–

>Охрененное опенсорц сообщество.

Нормальное
>Что значит "не сообщается"?! Раз это, как они говорят, "популярная система, используемая на многих серверах", то и другие могут быть взломаны...

А если сообщат, то точно будут взломаны. Причём любым одноклеточным.
Вот если меры вендором не будут приняты в разумные рамки, тогда да.

3.30, Kodir (ok), 19:24, 31/05/2013 [^] [^^] [^^^] [ответить]	–3 +/–
Ичо, вы хотите сказать, что друпаласты вот так взяли и предупредили ВСЕХ пользователей "некой популярной системы"? Не верю. А значит кто-то, благодаря тупизне друпалистов, сильно рискует данными.

4.32, klay (??), 01:36, 01/06/2013 [^] [^^] [^^^] [ответить]	–1 +/–
При чём здесь Drupal вообще? Речь идёт только о серверном ПО, причём это подчёркнуто.

5.33, Аноним (-), 01:52, 01/06/2013 [^] [^^] [^^^] [ответить]	+/–
доверчивый слоупок

4.34, qux (ok), 11:19, 01/06/2013 [^] [^^] [^^^] [ответить]	+/–
Этих кого-то на порядки меньше, чем тех, кто рисковал бы открой они информацию. Зачем по-вашему во всех приличных багзиллах при заполнении отчета дают галку "security issue"?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: