2013年6月2日 星期日

Drupal.org網站被駭,使用者帳號資料可能外洩

Drupal.org網站被駭,使用者帳號資料可能外洩

駭客是藉由安裝在Drupal.org伺服器上的第三方軟體存取了使用者帳號資料,而不是透過Drupal的漏洞,因此自行以Drupal架站的網站不需擔心。可能外洩的資料包括使用者名稱、電子信箱地址,所屬國家,以及雜湊密碼等個人資料。

負責管理知名架站平台Drupal的Drupal Association周三發出安全警報指出,包括Drupal.org及groups.drupal.org都遭第三方軟體非法存取,呼籲Drupal.org的使用者儘快重新設定帳號密碼。

根據Drupal.org的說明,駭客是藉由安裝在Drupal.org伺服器上的第三方軟體存取了Drupal.org及groups.drupal.org裡面的使用者帳號資料,而不是透過Drupal的漏洞,因此自行以Drupal架站的網站不需擔心。

可能外洩的資料包括使用者名稱、電子信箱地址,所屬國家,以及雜湊密碼(hashed passwords)等個人資料。不過Drupal.org也強調,目前詳情還在調查之中,因此也有可能會發現還有更多的資料外洩,若有新發現也會儘快通知使用者。

為安全起見,Drupal.org除了重設使用者密碼外,也要求使用者下次要登入Drupal.org時必須重設密碼。或者也可先以重新索取密碼的方式立即重設。

Drupal.org並未說明是那個第三方軟體惹的禍,只說明發現經過,是因為與廠商合作確認某個已被公開揭露的已知漏洞,但這漏洞並不屬Drupal而是安裝在同一台伺服器上的第三方軟體,至於詳情目前還在調查中,會在適當時機公布調查結果。Drupal.org是在做相關檔案安全稽核時關閉association.drupal.org網站做檔案移轉與檢查時發現到有人利用第三方軟體漏洞存取了使用者帳號資訊。

Drupal是近幾年來發展相當快速的跨平台開放源碼CMS(內容管理系統,或俗稱「架站軟體」),最知名的使用者包括了美國白宮的官網,經濟學人。目前使用率最高的是最新的正式版Drupal 7.X,其次則是前一版Drupal 6.X。

目前開發中的Drupal 8將與HTML5有更好的結合,依據Drupal.org的開發計畫,Drupal 8可望在今年7月1日完成開發,並釋出beta版,預計在8、9月間可推出正式版。

轉載自《iThome》

沒有留言:

張貼留言