Apache.org é Vítima de Ataque
Publicado em 18-04-2010 23:00
Número de Visualizações: 4753
A equipe responsável pelo desenvolvimento e manutenção do Projeto Apache, informou a ocorrência de um ataque contra o servidor de hospedagem de seu
software verificador de falhas. Os usuários do JIRA, Bugzilla ou Confluence tiveram sua senha comprometida (cópia em
hash), e tanto o JIRA quanto o Confluence utilizam um
hash SHA-51 que não possui um
salt aleatório. Os desenvolvedores do Apache acreditam que o risco de haver senhas comuns com base em ataques de dicionário é muito alto, e a maioria dos usuários deve fazer alteração de suas senhas. O Bugzilla usa SHA-256, também incluindo um
salt aleatório.
Em relação a gravidade do risco para a grande parte dos usuários, esta pode ser classificada como baixa ou moderada, levando em consideração que senhas baseadas em dicionário não apresentam total eficácia. Mesmo assim, é recomendável fazer essa modificação. Caso o usuário tenha feito
login na instância Apache JIRA entre os dias 6 e 9 de abril, ele pode estar certo de que houve um comprometimento da senha, pois os autores dos ataques modificaram o formulário de
login para utilização das mesmas.
Saiba Mais:
[1] LWN.Net:
http://lwn.net/Articles/383260/
[2] Apache Foundation:
https://blogs.apache.org/infra/entry...org_04_09_2010