Die Webseite der Ubuntu-Forums ist bereits vergangene Woche Opfer eines Attacke geworden. Ein Mitglied der Foren-Betreuer hatte das Sicherheitsteam darauf aufmerksam gemacht, dass eine anonyme Person behaupten würde, eine Kopie der Forendatenbank zu besitzen.
Das Security-Team hat nach einigen Recherchen, die für einen Datendiebstahl sprachen, das Forum aus Sicherheitsgründen geschlossen. Bei den weiteren Analysen wurde eine ungepatchte SQL-Injection-Lücke in einem Foren-Add-on (Forumrunner) gefunden.
Laut der von Canonical zum Angriff auf Ubuntu-Forums veröffentlichten Analyse sei es dem Angreifer gelungen, die Lücke auszunutzen und damit auf beliebige Tabellen zugreifen zu können. Es sei aber davon auszugehen, dass nur die Nutzer-Tabelle gelesen worden sei, die rund zwei Millionen Einträge enthält. Es sei zu einem Download von Nutzernamen, E-Maild-Adressen und IP-Adressen gekommen. Aktive Passwörter seien nicht zugänglich gewesen. Die Passwörter in der angegriffenen Tabelle seien als Salted Hashes gespeichert, die der Angreifer allerdings heruntergeladen habe.
Canonical führt weiter aus, dass das System nach dem Einbruch ein Backup angefertigt und die Server mit den vBulletin-Foren frisch aufgesetzt. Die Forensoftware sei nach aktuellem Stand gepatcht. Alle System- und Datenbank-Passwörter seien geändert worden. Zudem habe man mit Apache Modsecurity eine Firewall für Web-Anwendungen installiert, um solche Angriffe künftig verhindern zu können. Auch das Monitoring der Forensoftware vBulletin will man verbessern.
