每日安全资讯:Ubuntu官网论坛再次被黑,又是SQL注入惹的祸

近日Ubuntu官方论坛被黑,泄露了超过200万数据,本次泄露的用户数据包括IP地址、用户名和电子邮件地址。据官方透露,这是因为论坛系统补丁的缺失,才导致了用户数据的泄露。

但是大家需要知道,本次攻击事件并不会影响Ubuntu操作系统,也不是由于操作系统的漏洞引起的。据最初报道的BetaNews所述,这次数据泄露只影响了Ubuntu官网的“操作系统论坛”。

Canonical公司的CEO Jane Silber在一篇博文中写道:

“很抱歉在Ubuntu官方论坛网站上出现了安全漏洞,我们本身是非常重视信息安全和用户隐私的,平时也遵循了一套严格的安全实践标准。在这次事件后,我们进行了一场彻底调查。”

“我们已经采取了挽救措施,Ubuntu论坛的全部服务已经恢复。为了这次事件的透明性,我们会分享漏洞的细节,以及相应的修补措施。并且,我们为数据泄露事件和论坛出现的漏洞,向大家表示诚恳的歉意。”

论坛插件ForumrunnerSQL注入Xday

经过深入调查后,发现罪魁祸首是论坛插件Forumrunner的SQL注入Xday,因为没有及时打上补丁,才导致了用户数据的泄露。事实上这听起来很糟糕,也证明了安全最弱的环节,仍然是人为的这一块。

攻击者利用SQL注入漏洞,从论坛数据库里下载了部分数据,即约200万用户的用户名、电子邮件地址和IP地址信息。

官方论坛作为Ubuntu单点登录的入口,表里储存的密码是随机字符串(salt+hash),黑客这次并没有能直接获取密码明文。尽管Canonical官方迅速修补了漏洞,但这仍然很让人失望。由于该公司未及时打上漏洞补丁,才导致了这次大型数据泄露事件的发生。

来源:FreeBuf 作者:dawner 原文链接:http://www.freebuf.com/news/109312.html

今日漏洞

  1. 中国工商银行E支付业务漏洞被多款终端恶意软件利用疯狂盗刷用户银行卡
    https://www.vulbox.com/bugs/vulbox-2016-023355
  2. 茅台商城未授权访问和SQL注射漏洞
    http://www.wooyun.org/bugs/wooyun-2016-0229771
  3. MAGAPP通用命令执行/越权访问(涉及大量地方门户及app/百万以上用户信息)
    http://www.wooyun.org/bugs/wooyun-2016-0230080
  4. URP教务系统两处越权有条件(影响国内众多高校)
    https://butian.360.cn/vul/info/qid/QTVA-2016-465533
  5. 易学堂在线学习系统 v2.0前台无视GPC注入一枚
    https://butian.360.cn/vul/info/qid/QTVA-2016-464747
(来源:补天、乌云、漏洞盒子,安华金和搜集整理)

最后编辑于:2016/7/19作者: 安华金和

安华金和

安华金和专注于数据库安全领域,由长期致力于数据库内核研发和信息安全领域的专业资深人员共同创造,是国内领先的,提供全面的数据库安全产品、服务和解决方案服务商,覆盖数据库安全防护的事前检查、事中控制和事后审核,帮助用户全面实现数据库安全防护和安全合规。