• Apache.org é Vítima de Ataque

    Publicado em 18-04-2010 23:00  Número de Visualizações: 5040  
    0 Comentários Comentários
    A equipe responsável pelo desenvolvimento e manutenção do Projeto Apache, informou a ocorrência de um ataque contra o servidor de hospedagem de seu software verificador de falhas. Os usuários do JIRA, Bugzilla ou Confluence tiveram sua senha comprometida (cópia em hash), e tanto o JIRA quanto o Confluence utilizam um hash SHA-51 que não possui um salt aleatório. Os desenvolvedores do Apache acreditam que o risco de haver senhas comuns com base em ataques de dicionário é muito alto, e a maioria dos usuários deve fazer alteração de suas senhas. O Bugzilla usa SHA-256, também incluindo um salt aleatório.



    Em relação a gravidade do risco para a grande parte dos usuários, esta pode ser classificada como baixa ou moderada, levando em consideração que senhas baseadas em dicionário não apresentam total eficácia. Mesmo assim, é recomendável fazer essa modificação. Caso o usuário tenha feito login na instância Apache JIRA entre os dias 6 e 9 de abril, ele pode estar certo de que houve um comprometimento da senha, pois os autores dos ataques modificaram o formulário de login para utilização das mesmas.


    Saiba Mais:

    [1] LWN.Net: http://lwn.net/Articles/383260/
    [2] Apache Foundation: https://blogs.apache.org/infra/entry...org_04_09_2010
    + Enviar Comentário