HanDs
管理员

Ubuntu在线论坛因为已知的SQL注入漏洞再次被黑 



http://p3.qhimg.com/t01e17d428488ffb7eb.jpg       

        Ubuntu在线论坛被黑,超过二百万用户的用户名、IP地址和电子邮件地址已经被暴露出来。


        Ubuntu在线论坛在几个月内已经被黑了两次,而这一次有超过200万用户的数据被暴露。

        据来自Ubuntu的消息,黑客暴露的用户数据包括用户名、电子邮件地址和IP地址。

        数据的泄露是由一个应用到Ubuntu的在线论坛上的补丁修复失败引起的。


    

http://p2.qhimg.com/t01e287a4274de18567.jpg

       这个新闻由BetaNews首次报道,引用来自Canonical的权威官方声明。

    “在Ubuntu论坛网站上有一个安全漏洞。我们非常重视信息安全和用户的隐私,并且遵循一套严格的安全实践,这一事件引发了一场彻底的调查。” Canonical的首席执行官Jane Silber宣布。

    “目前已经采取了纠正措施,同事论坛已经恢复了全方位服务的论坛。为了增加该事件的透明度,我们愿意分享这个漏洞的细节和我们已经采取了什么措施。我们为本次数据泄露和随后造成的不便道歉。”


Canonical的专家发现,黑客利用了附加在Ubuntu论坛上的Forumrunner中的一个已知的SQL注入漏洞。


Ubuntu在线论坛的管理员未能修复该安全漏洞,尽管这样的问题一旦检测到就很容易修复。

这状况令人不由得感到尴尬!

攻击者注入格式化SQL到论坛数据库中,然后访问了整个在线论坛的归档信息,包括数据。

攻击者使用上面的访问下载了“用户”表的大部分数据,包含了超过200万用户的数据。

幸运的是, 由于论坛依靠Ubuntu的单点登录进行登录,所以属于Ubuntu网上论坛的密码都是散列和加盐的。


“我们知道攻击者无法获得任何Ubuntu代码存储库或更新机制的进入权限。

我们知道攻击者无法获得有效的用户密码。

我们相信攻击者无法升级过去的远程SQL读取权限来访问论坛数据库服务器上的数据库。

我们相信攻击者无法获得远程SQL读取权限访问论坛的数据库。

我们相信攻击者无法获得论坛的任何应用程序或数据库服务器的shell访问权限。

我们相信攻击者根本没有获得任何访问论坛前端服务器的权限。

我们相信攻击者无法获得任何其它Canonical或Ubuntu服务的访问权限。”

Ubuntu发布的博客文章中补充说。

这一事件引起了关于Canonical非常糟糕的补丁管理,以及因此造成用户数据暴露的责任的激烈讨论。

 

http://securityaffairs.co/wordpress/49388/data-breach/ubuntu-online-forums-hacked.html



学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
Ubuntu 在线论坛因为已知的 SQL 注入漏洞再次被黑
#1楼
发帖时间:2016-7-19   |   查看数:0   |   回复数:0
游客组
快速回复