Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties

Canonical heeft een waarschuwing gepubliceerd, waarin staat dat onbekenden toegang hebben gehad tot de database van de Ubuntu-forums. Zij hebben alleen de user-tabel uitgelezen met gebruikersnamen, e-mailadressen en ip-adressen. Er was geen toegang tot actieve wachtwoorden.

CanonicalIn plaats van wachtwoorden bevatte de tabel alleen random strings, omdat de forums gebruikmaken van sso. Deze strings waren voorzien van een hash en een salt, aldus Canonical. Er was toegang tot gegevens van ongeveer 2 miljoen gebruikers. De organisatie werd donderdag op de hoogte gebracht van het incident, toen iemand claimde een kopie te bezitten van de forumdatabase. Na onderzoek bleek dat er inderdaad ongeautoriseerde toegang is geweest en werd het forum offline gehaald.

Het onderzoek wees uit dat de aanvaller is binnengekomen via een sql injection-lek in de Forumrunner-add-on, die niet was voorzien van een patch. De aanvaller had geen toegang tot de Ubuntu-repositories en kon geen gegevens naar de database schrijven, zo vult de organisatie aan. Ook was deze niet in staat een shell te openen.

Canonical meldt dat het actie heeft ondernomen door alle servers met de VBulletin-forumsoftware te wissen en geheel opnieuw op te bouwen. Ook zijn de laatste patches doorgevoerd en zijn alle wachtwoorden opnieuw ingesteld. Als aanvullende maatregelen is een ModSecurity-firewall geïnstalleerd en wordt er beter gelet op het toepassen van patches voor VBulletin.

Moderatie-faq Wijzig weergave

Reacties (29)

Tja, hoge bomen vangen veel wind en zo. Het is een heerlijk sappig doelwit natuurlijk.
Heeft imho weinig met hoge bomen te maken. Een niet gepatchte plugin hoort niet voor een bedrijf als Canonical waar net zovele mensen en bedrijven vertrouwen dat zij zelf ook tijdig patches ter beschikking stellen voor veiligheidsproblemen.
SSO tegen een back-end dbase maar software die niet overweg kan met een leeg veld? Iets beters kan ik er niet van maken :+
Laten we maar hopen dat Ubuntu zelf veiliger is..
Een 13 jaar oud bericht.....
Ja op Windows zijn meer virussen, maar virussen en een lek zijn toch andere dingen. Dit was geen virus.
Linux is ook een lekker doel voor virussen..... Not dus.
Ik heb zelf ook de fout in de forumrunner add-on gezien, deze maakte het mogelijk om een bepaald id die meegegeven werd als parameter, direct uit te voeren in de query. Ideaal voor een SQL-injectie aanval.

Verder was hij zelfs uit te voeren als de add-on uitgeschakeld was omdat hij zich in 1 van de helper classs bevond.

Eigenlijk onbegrijpelijk dat zo'n grote fout zich bevind in een add-on die zeer vaak gebruikt wordt, het is dan ook lastig om je hier tegen te verdedigen omdat je hiervoor dergelijke add-ons eigenlijk regel voor regel door moet lopen en zeker bij een grote bekende mod wordt dat nog weleens nagelaten.
De forumrunner add-on add heeft totaal niets te maken met welke OS dan ook ..., dit is namelijk gewoon een php script die voor de bekende forums is gemaakt.
Nee, dit was niet door een bug in PHP.
De taal zal niet zo veel uitmaken. Software, in welke taal dan ook, bevat bugs en gaten :)
Ik zit in een auto, ik rij iemand dood, de auto is fout want het maakt niet uit dat ik de richting van de auto bepaal.
Beetje kromme vergelijking. Als je dan een vergelijking wilt gebruiken:
Jij rijdt in de auto, de fabrikant heeft geen remmen in de auto gestopt, oeps foutje, jij rijdt iemand of jezelf dood en de fabrikant is verantwoordelijk.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True