Документация по LinuxLinuxDoc.Ru 🔍
🕛

В инфраструктуре проекта Fedora выявлены проблемы с безопасностью

Робин Бергерон (Robyn Bergeron), лидер проекта Fedora, опубликовал уведомление о выявлении ошибки в системе управления аккаунтами разработчиков дистрибутива, которая могла привести к утечке данных об учётных записях разработчиков проекта, на стадии, когда аккаунты ещё не прошли подтверждение. Среди информации, которая могла попасть не в те руки присутствуют хэши паролей (SHA-512 с солью), тайные вопросы и ответы для восстановления пароля и персональные данные.

Отмечается, что проблема присутствует в инфраструктуре с 2008 года, но эксплуатация уязвимости возможна только с использованием аккаунта авторизированного пользователя. Для эксплуатации уязвимости было достаточно отправить к скрипту экспорта данных в формате JSON специально оформленный запрос вывода списка неподтверждённых записей, который приводил к выводу всех полей, в том числе закрытых. Предварительный анализ логов первичной системы управления аккаунтами не выявил активности, свидетельствующей о проведении атак, использующих данную уязвимость. При этом для вспомогательных систем получить подтверждение об отсутствии утечки информации не удалось из-за отсутствия ведения необходимых логов.

В связи с обнаруженной проблемой, всем пользователям, имеющим аккаунты в инфраструктуре Fedora, рекомендовано, но не навязывается, произвести смену паролей и обновить вопросы/ответы для восстановления доступа.

Также по теме:
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Linux - Новости Linux - В инфраструктуре проекта Fedora выявлены проблемы с безопасностью
Мы в соцсетях ✉