Das Mageia-Projekt muss einen Einbruch in die LDAP-Datenbasis melden. Der Angreifer habe die E-Mail-Adresse, Namen und auch die Kennwort-Hashes von allen bei “identity.mageia.org” angemeldeten Nutzer veröffentlicht.
Wie Marc Lattemann vom Mageia.org-Projekt berichtet, stimmen die veröffentlichten Hashes allerdings nicht mit den protokollierten überein. Es seien auch alle Großbuchstaben entfernt worden, so Lattemann. Es sei deshalb unklar, ob die aktuellen Kennwörter gefährdet seien.
Das Projekt habe aber dennoch reagiert und die Kennwörter zurückgesetzt. Wie es zum Auslesen der Daten kam, werde derzeit untersucht, die Konfiguration des LDAP-Servers sollte dies eigentlich verhindern.
Den Nutzern empfiehlt das Projekt dringend zu prüfen, ob das Kennwort für den Mageia-Account anderweitig verwendet wurde und dort die Kennwörter auch zu ändern.
Um den Zugang zur Mageia-Kennung wieder zu erlangen, sollte für alle Nutzer ohne Git-Zugriff der Link zum Zurücksetzten des Kennwortes ausreichen, lässt Lattemann wissen. Der Link zum Zurücksetzen gehe den Nutzern nach einer Anforderung zum Kennwort-Reset per Mail zu.





