LINUX.ORG.RU

Вслед за kernel.org взломан linux.com

 


0

3

8-го сентября команда linux.com обнаружила взлом, который мог скомпрометировать данные пользователей, включая пароли и почтовые адреса. Команда убедительно просит всех пользователей поменять ssh ключи и пароли, которые вы задействовали на этих сайтах.

Все серверы Linux Foundation будут отключены в ближайшее время, чтобы сделать переустановку.

>>> Подробности

★★★★★

Проверено: mono ()
Последнее исправление: Klymedy (всего исправлений: 2)
Ответ на: комментарий от Unnamed_Hero

~$ sudo nmap -O linux.com -PN

Starting Nmap 5.00 ( http://nmap.org ) at 2011-09-11 15:40 EEST

Interesting ports on korgmaint.linux-foundation.org (140.211.169.32):

Not shown: 999 filtered ports

PORT STATE SERVICE

80/tcp open http

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: general purpose

Running (JUST GUESSING) : Linux 2.6.X (92%)

Aggressive OS guesses: Linux 2.6.18 (CentOS 5.1, x86) (92%)

No exact OS matches for host (test conditions non-ideal).

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 21.72 seconds

fooser
()
Ответ на: Р#Ш#Т0 от Apple-ch

> Они хранились в открытом виде, да? И почему я неудивлён…

В большинстве способов аутентификации либо пароли лежат на сервере в открытом виде, либо пересылаются при каждом логине. Так что тут вопрос стоит что проще защитить - сервера компании или все каналы передачи данных с сервера.

anonymous
()
Ответ на: комментарий от Krestov_Kostya

Я так понял, подорвана репутация Линукс, как безопасной отказоустойчивой платформы?

Попытка скомпрометировать линукс как безопасную платформу. Вот мол, ребята, мы взломали их ключевые ресурсы. Просто заказали и долбанули конкурента, чтобы не отнимал долю рынка.

vold ★★★★★
()
Ответ на: комментарий от Krestov_Kostya

>Я так понял, подорвана репутация Линукс, как безопасной отказоустойчивой платформы?

Не бывает безопасных платформ, бывают безопасные сисадмины и прочие люди. А при их наличии платформа не так важна.

x3al ★★★★★
()

Когда же мой ЛОР взломают?

Rodegast ★★★★★
()

Всё выглядит как компрометация не только kernel.org и прочей инфраструктуры Linux Foundation, но и как наличие трояна у кого-то из высокопоставленных админов.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Othniel

> Мда, рано BSD закапывать. Интересно, это целенаправленно или совпадение?

Имхо, целенаправлено.

bsdfun ★★★★★
()

> взлом, который мог скомпрометировать данные пользователей, включая пароли и почтовые адреса

Может это подтолкнет народ на более активное использование OpenID.

anonymous
()
Ответ на: комментарий от vold

> Кто-то не на шутку разозлился на линукс.

И кто же это у нас там такой? Ах, чьи же это такие ушки? Ах, и зачем же это тебе такие большие зубки?

sin_a ★★★★★
()
Ответ на: комментарий от goingUp

+2 взлома ничего не поменяют в общей расстановке сил

Это отличный пиар для винды и возможнотсь продавить Win Server через многих государственных чиновников. Это реально большие бабки.

Всё выглядит как компрометация не только kernel.org и прочей инфраструктуры Linux Foundation, но и как наличие трояна у кого-то из высокопоставленных админов.

Очень может быть, что кого-то из них купили. Игра стоит свеч.

Vudod ★★★★★
()

> Все серверы Linux Foundation будут отключены в ближайшее время, чтобы сделать переустановку.

Иногда дешевле сделать переустановку после взлома, чем красноглазить с OpenBSD и разными Hardened решениями.

anonymous
()
Ответ на: комментарий от Krestov_Kostya

> Я так понял, подорвана репутация Линукс, как безопасной отказоустойчивой платформы?

Никто и не говорил, что Linux идеальная система без ошибок. Это только Oracle рассказывал сказки про свои Ubbreackable решения. Остальные четко представляют, что «безопасной отказоустойчивой платформы» это не значит, что система без единой уязвимости. Да и не важно это никому, кроме школьников и любителей померяться у кого больше и длиннее. Остальные выбирают систему наиболее подходящую для работы по сумме критериев, а не медитируют на неуязвимость, невзламываемость и сказки из рекламы этой системы.

anonymous
()

Воистину epic fail.

ktan ★★★
()
Ответ на: комментарий от Vudod

> Это отличный пиар для винды и возможнотсь продавить Win Server через многих государственных чиновников. Это реально большие бабки.

Что-то мне подсказывает, что тут размер отката перекрывает любые аргументы.

anonymous
()
Ответ на: комментарий от xorik

>Сейчас в любую базовую софтину могут внедрить бэкдор и всё — пиши пропало
не надо поднимать панику! в любом нормальном SCM будет заметно любое «левое» изменение.

AGUtilities ★★★
()
Ответ на: комментарий от Vudod

Win Server

Да эту х-ню и взламывать не надо, и так downtime порядочный сам по себе, там на каждый апдейт надо перезагрузка, и не просто перезагрузка, а апдейт ставиться во время перезагрузки, а если еще оно решит проверить свои ntfs диски, то это на полчаса может затянутся.

goingUp ★★★★★
()
Ответ на: комментарий от note173

Мелкософт вроде ломали. Apple - молчат как партизаны.

Quasar ★★★★★
()

> взлом мог привести к утечке базы данных пользователей, включая SSH-ключи

Кто-нибудь объясните мне, что пользовательские SSH ключи делают на сервере Linux.com. Ну забрали чуваки публичную часть ключа (приватная в меня локально лежит и на сервер я ее точно выкладывать не стану), ну и что? Кому надо, я могу и сам на e-mail выслать. А что там приватная часть делает?

anonymous
()
Ответ на: комментарий от AGUtilities

>в любом нормальном SCM будет заметно любое «левое» изменение.
Разве кроме git кто-то проверяет контрольную сумму файлов?

xorik ★★★★★
()
Ответ на: комментарий от anonymous

Это отличный пиар для винды и возможнотсь продавить Win Server через многих государственных чиновников. Это реально большие бабки.

Что-то мне подсказывает, что тут размер отката перекрывает любые аргументы.

Теперь размер откатов станет на n% меньше. Как известно, сэкономленные деньги --- заработанные.

Vudod ★★★★★
()
Ответ на: комментарий от x3al

>А при их наличии платформа не так важна.

Безопасные сисадмины могут телами закрыть незакрытые дыры в безопасности?

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Если с сервера ходили на другой сервер, то могли хранить и закрытый ключ.

AVL2 ★★★★★
()
Ответ на: комментарий от AGUtilities

>а что, кроме контрольной суммы нет больше никаких способов проверки изменений версий? o_O
А как ты найдешь вражеский коммит среди тысячи подобных?

xorik ★★★★★
()

> включая пароли

а как же хеширование паролей, нескомпрометированные алгоритмы вроде blowfish и так называемая соль ? кто там проектировщик системы ? можно ж было всё это дело как-то солиднее сообразить, уж пароли в открытом виде хранить это явное дилетантство.

можно предположить, что и на другие аспекты безопасности так же забили, как и на хеширование паролей.

теперь вовсю будут волать про решето. а ламерью и невдомёк, что даже навороченную систему можно сгубить плохой настройкой и забиванием на элементарные рекомендации по безопасности .

Voviandr
()

Кстати, почему .com?

Я-то думал, что линупс — свободный и открытый, а это коммерческая побелка, получается?

Apple-ch ★★
()
Ответ на: комментарий от JIesnik

>Ша за херня? Почему как я зайду на какой бы то ни было сайт, скачаю/зарегистрируюсь/etc. на следующий день выясняется, что его взломали?

Когда этим летом взломали Nokia Developer, то после этого возросло количество сообщений в папке спам, даже не хочется думать, что сейчас это повторится...

X-Pilot ★★★★★
()

А то я думаю, куда iZEN пропал. А он занят был последнее время.

le_legioner ★★
()

Что разорались? Социальная инженерия опять рулит. Поломали кернел.орг, проанализировали добытое там и ломанули линукс.ком... Если вслед за ним полетит фсф.орг, ничего удивительного не будет — у них же много общих пользователей.

fractaler ★★★★★
()
Ответ на: комментарий от Krestov_Kostya

> Если снаряжать космические аппараты Линукс, они не начнут падать?

Все падают... Но если ставить на них венду, велика вероятность, что зависнут ещё на старте.

anonymous
()

А что там было-то, на linux.com этом? Что за «Linux Foundation» ещё?
Ни разу за пять с лишним лет не слышал о таком.

powerpc
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.