Ubuntu官网论坛再次被黑,又是SQL注入惹的祸

Posted FreeBuf

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Ubuntu官网论坛再次被黑,又是SQL注入惹的祸相关的知识,希望对你有一定的参考价值。


但是大家需要知道,本次攻击事件并不会影响Ubuntu操作系统,也不是由于操作系统的漏洞引起的。据最初报道的BetaNews所述,这次数据泄露只影响了Ubuntu官网的“操作系统论坛”。

Canonical公司的CEO Jane Silber在一篇博文中写道:

“很抱歉在Ubuntu官方论坛网站上出现了安全漏洞,我们本身是非常重视信息安全和用户隐私的,平时也遵循了一套严格的安全实践标准。在这次事件后,我们进行了一场彻底调查。”

“我们已经采取了挽救措施,Ubuntu论坛的全部服务已经恢复。为了这次事件的透明性,我们会分享漏洞的细节,以及相应的修补措施。并且,我们为数据泄露事件和论坛出现的漏洞,向大家表示诚恳的歉意。”

论坛插件ForumrunnerSQL注入Xday

经过深入调查后,发现罪魁祸首是论坛插件Forumrunner的SQL注入Xday,因为没有及时打上补丁,才导致了用户数据的泄露。事实上这听起来很糟糕,也证明了安全最弱的环节,仍然是人为的这一块。

官方论坛作为Ubuntu单点登录的入口,表里储存的密码是随机字符串(salt+hash),黑客这次并没有能直接获取密码明文。尽管Canonical官方迅速修补了漏洞,但这仍然很让人失望。由于该公司未及时打上漏洞补丁,才导致了这次大型数据泄露事件的发生。

*参考来源:TA,FB小编dawner编译,转载请注明来自FreeBuf(FreeBuf.COM)    


以上是关于Ubuntu官网论坛再次被黑,又是SQL注入惹的祸的主要内容,如果未能解决你的问题,请参考以下文章

原来是路由与网卡不兼容惹的祸!

都是分号惹的祸 ORA-00911

全角的空格(A1A1)惹的祸!

#pragma pack (n) 惹的祸

===都是缓存惹的祸=====

你应该知道的数仓安全:都是同名Schema惹的祸