Drupal setzt Kennwörter nach der Feststellung eines nicht autorisierten Zugriff

2013-12-28  |  Comebuy News

Drupal.org hat Kontokennwörter zurücksetzen, nachdem es unbefugten Zugriff auf Daten auf seinen Servern gefunden.

Comebuy Verwandte Artikel: Crash-Kurs: wie man eine Website mit DrupalDreamHost setzt Kunden FTP-Kennwörter, die folgende Datenbank BreachKPN schließt Portal nach zwei Drittel der Firmenkunden mit Standard-PasswordSony sperrt 93.000 PSN gefunden und SOE-Konten nach Masse Login AttemptLivingSocials Verletzung zieht von Sicherheitsexperten beraten

Der Zugang kam durch Software von Drittanbietern auf Drupal.org-Server-Infrastruktur installiert und war nicht das Ergebnis einer Schwachstelle in Drupal, sagte der open-Source-Content-Management-Software-Anbieter in ein Sicherheitsupdate späten Mittwoch auf ihrer Website.

Die gemachten Angaben enthält, Benutzernamen, e-Mail-Adressen und Länderinformationen sowie gehashte Passwörter. Die Verletzung hat Benutzerkontodaten gespeichert auf Drupal.org und groups.drupal.org und nicht auf Websites mit Drupal Software betroffen. Drupal.org beherbergt freiwilligen Schlittelbahn das Drupal-Projekt, das verfolgt den Drupal Code und Arbeit beigetragen, während Drupal Gruppen von der Gemeinschaft zu organisieren und Planen von Projekten verwendet wird.

Untersuchungen sind noch nicht abgeschlossen und Drupal kann lernen Sie andere Arten von Informationen, die betroffen sind kann, schrieb Holly Ross, executive Director der (Drupal Association, der Standort Drupal.org verwaltet.

"Wir speichern keine Kreditkarteninformationen auf unserer Website und haben keinen Beweis, dass die Kartennummern können abgefangen worden entdeckt", sagte Drupal in eine FAQ. Es gibt auch keinen Beweis, dass Drupal Core-Software oder eingebrachte Projekte und Pakete auf Drupal.org. durch ein nicht autorisierter Benutzer geändert wurden.

Die schädlichen Dateien, platziert auf association.drupal.org Servern von einem Fremdanbieter-Anwendung, die von dieser Website verwendet wurden während einer Sicherheitsprüfung entdeckt. Die Drupal Association-Website wurde geschlossen "zu mildern alle laufenden Sicherheitsprobleme in Bezug auf die Dateien." Während forensische Auswertungen vom Sicherheits-Team wurde festgestellt, dass Benutzer-Account-Informationen über die Schwachstelle zugegriffen wurde.

Die Fremdanbieter Anwendung wurde nicht erkannt.

Drupal sagte, sie hatte alle Drupal.org Inhaber Kontokennwörter zurücksetzen und bittet Benutzer ihre Kennwörter auf ihrem nächsten Login-Versuch als Vorsichtsmaßnahme ändern. Es gab Richtlinien für Benutzer ihre Kennwörter ändern.

Drupal derzeit keine Hinweise, wer hinter dem Anschlag war. Es reagierte nicht sofort auf Anfragen für weitere Informationen über das Eindringen, auch auf die Anzahl der Benutzer betroffen, die ca. 1 Million, entsprechend einigen Schätzungen sein könnte.

Hat die Open Source-Gruppe inzwischen verstärkt seine Sicherheit um ähnliche Angriffe, durch eine Verfestigung der Apache Webserver-Konfigurationen, einschließlich zu verhindern, läuft einen Antiviren-Scanner regelmäßig um bösartige Dateien auf Drupal.org-Server hochgeladen werden zu erkennen, und Hinzufügen von GRSEC Kernel auf den meisten Servern zu sichern. Es machte auch statische Archive der End-of-Life-Sites, die in der Zukunft nicht aktualisiert werden.

« Back