开发者社区> 晚来风急> 正文

Ubuntu 官网论坛再被黑,又是 SQL 注入惹的祸

简介:
+关注继续查看

近日Ubuntu官方论坛被黑,泄露了超过200万数据,本次泄露的用户数据包括IP地址、用户名和电子邮件地址。据官方透露,这是因为论坛系统补丁的缺失,才导致了用户数据的泄露。

但是大家需要知道,本次攻击事件并不会影响Ubuntu操作系统,也不是由于操作系统的漏洞引起的。据最初报道的BetaNews所述,这次数据泄露只影响了Ubuntu官网的“操作系统论坛”。

image

Canonical公司的CEO Jane Silber在一篇博文中写道:

“很抱歉在Ubuntu官方论坛网站上出现了安全漏洞,我们本身是非常重视信息安全和用户隐私的,平时也遵循了一套严格的安全实践标准。在这次事件后,我们进行了一场彻底调查。”

“我们已经采取了挽救措施,Ubuntu论坛的全部服务已经恢复。为了这次事件的透明性,我们会分享漏洞的细节,以及相应的修补措施。并且,我们为数据泄露事件和论坛出现的漏洞,向大家表示诚恳的歉意。”

论坛插件ForumrunnerSQL注入Xday

经过深入调查后,发现罪魁祸首是论坛插件Forumrunner的SQL注入Xday,因为没有及时打上补丁,才导致了用户数据的泄露。事实上这听起来很糟糕,也证明了安全最弱的环节,仍然是人为的这一块。

攻击者利用SQL注入漏洞,从论坛数据库里下载了部分数据,即约200万用户的用户名、电子邮件地址和IP地址信息。

官方论坛作为Ubuntu单点登录的入口,表里储存的密码是随机字符串(salt+hash),黑客这次并没有能直接获取密码明文。尽管Canonical官方迅速修补了漏洞,但这仍然很让人失望。由于该公司未及时打上漏洞补丁,才导致了这次大型数据泄露事件的发生

文章转载自 开源中国社区[http://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
19217 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
18714 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
33604 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
25231 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
13948 0
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
35345 0
+关注
9378
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载