Ubuntu在线论坛因为已知的SQL注入漏洞再次被黑

Ubuntu在线论坛被黑,超过二百万用户的用户名、IP地址和电子邮件地址已经被暴露出来。

Ubuntu在线论坛在几个月内已经被黑了两次,而这一次有超过200万用户的数据被暴露。

据来自Ubuntu的消息,黑客暴露的用户数据包括用户名、电子邮件地址和IP地址。数据的泄露是由一个应用到Ubuntu的在线论坛上的补丁修复失败引起的。

这个新闻由BetaNews首次报道,引用来自Canonical的权威官方声明。

“在Ubuntu论坛网站上有一个安全漏洞。我们非常重视信息安全和用户的隐私,并且遵循一套严格的安全实践,这一事件引发了一场彻底的调查。” Canonical的首席执行官Jane Silber宣布。“纠正措施已经采取,全方位服务的论坛已经恢复。为了增加该事件的透明度,我们愿意分享这个漏洞的细节和我们已经采取了什么措施。我们为本次数据泄露和随后造成的不便道歉。”

Canonical的专家发现,黑客利用了附加在Ubuntu论坛上的Forumrunner中的一个已知的SQL注入漏洞。

Ubuntu在线论坛的管理员未能修复该安全漏洞,尽管这样的问题一旦检测到就很容易修复。

这确实是一个令人尴尬的局面!

袭击者注入格式化SQL到论坛数据库中，然后访问了整个在线论坛的归档信息,包括数据。

袭击者使用上面的访问下载了“用户”表的大部分数据，包含了超过200万用户的数据。

幸运的是, 由于论坛依靠Ubuntu的单点登录进行登录，所以属于Ubuntu网上论坛的密码都是散列和加盐的。

“我们知道攻击者无法获得任何Ubuntu代码存储库或更新机制的进入权限。我们知道攻击者无法获得有效的用户密码。我们相信攻击者无法升级过去的远程SQL读取权限来访问论坛数据库服务器上的数据库。我们相信攻击者无法获得远程SQL读取权限访问论坛的数据库。我们相信攻击者无法获得论坛的任何应用程序或数据库服务器的shell访问权限。我们相信攻击者根本没有获得任何访问论坛前端服务器的权限。我们相信攻击者无法获得任何其它Canonical或Ubuntu服务的访问权限。”Ubuntu发布的博客文章中补充说。

这一事件引起了激烈的关于Canonical非常糟糕的补丁管理从而造成用户数据暴露的责任的谈论。