Nieuws
image

Database Windows-emulator Wine gehackt

woensdag 12 oktober 2011, 16:03 door Redactie, 9 reacties

Aanvallers zijn erin geslaagd om toegang tot de database met gebruikersgegevens van Wine te krijgen. Wine is een Windows-emulator die op Linux draait. In een reactie via de eigen mailinglist laat ontwikkelaar Jeremy White weten dat een nog onbekende aanvaller toegang tot phpmyadmin wist te krijgen. Wat er vervolgens is buitgemaakt is nog onduidelijk. Ook is het nog onduidelijk hoe de aanvaller of aanvallers binnenkwamen. Volgens White kan het zijn dat iemand het adminwachtwoord heeft gestolen, of dat er een ongepatcht beveiligingslek is gebruikt.

"We hadden met tegenzin toegang tot phpmyadmin aan de appdb-ontwikkelaars gegeven. Het is een handige tool en iets dat ze erg graag wilden. Maar het is een geliefd doelwit van hackers en klaarblijkelijk zijn onze pogingen om dit te verbergen en te patchen niet voldoende geweest." Inmiddels is phpmyadmin niet meer vanaf de buitenwereld toegankelijk.

Wachtwoord
White merkt op dat er geen bewijs is dat de database is aangevallen of gewijzigd. Wel wisten de aanvallers de volledige inlogdatabase voor zowel appdb als bugzilla te downloaden. Dit betekent dat ze naast alle e-mails ook de wachtwoorden hebben.

De wachtwoorden waren versleuteld opgeslagen. "Maar met genoeg moeite en afhankelijk van de kwaliteit van de wachtwoorden zijn ze te kraken", merkt White op. Wine heeft inmiddels van alle gebruikers de wachtwoorden gereset en betrokkenen een e-mail gestuurd.

Reacties (9)
12-10-2011, 16:13 door Anoniem
Oplossing: phpmyadmin alleen toegankelijk maken op 127.0.0.1 en via ssh tunnel verbinding tot stand brengen. Deze oplossing had waarschijnlijk ook geen afbreuk gedaan aan het beveilingsbeleid.
12-10-2011, 16:29 door SirDice
Door Anoniem: Oplossing: phpmyadmin alleen toegankelijk maken op 127.0.0.1 en via ssh tunnel verbinding tot stand brengen. Deze oplossing had waarschijnlijk ook geen afbreuk gedaan aan het beveilingsbeleid.
Volgens White kan het zijn dat iemand het adminwachtwoord heeft gestolen, of dat er een ongepatcht beveiligingslek is gebruikt.
Als er een admin password was gestolen helpt een ssh tunnel ook niet echt.
12-10-2011, 16:46 door Anoniem
Door SirDice:
Door Anoniem: Oplossing: phpmyadmin alleen toegankelijk maken op 127.0.0.1 en via ssh tunnel verbinding tot stand brengen. Deze oplossing had waarschijnlijk ook geen afbreuk gedaan aan het beveilingsbeleid.
Volgens White kan het zijn dat iemand het adminwachtwoord heeft gestolen, of dat er een ongepatcht beveiligingslek is gebruikt.
Als er een admin password was gestolen helpt een ssh tunnel ook niet echt.

Welk admin wachtwoord heeft White het over, phpmyadmin of ssh shell toegang? Daarnaast lijkt het mij verstandig om voor ssh toegang in iedergeval multifactor authenticatie in te stellen.
12-10-2011, 17:24 door Anoniem
phpmyadmin is onnodig en makkelijk uit te schakelen en beetje firewall kan hem ook toegang verbieden.
geen probleem dus
12-10-2011, 17:32 door SirDice
Door Anoniem:
Door SirDice:
Door Anoniem: Oplossing: phpmyadmin alleen toegankelijk maken op 127.0.0.1 en via ssh tunnel verbinding tot stand brengen. Deze oplossing had waarschijnlijk ook geen afbreuk gedaan aan het beveilingsbeleid.
Volgens White kan het zijn dat iemand het adminwachtwoord heeft gestolen, of dat er een ongepatcht beveiligingslek is gebruikt.
Als er een admin password was gestolen helpt een ssh tunnel ook niet echt.

Welk admin wachtwoord heeft White het over, phpmyadmin of ssh shell toegang?
Het lijkt mij een account/password voor phpadmin. Maar dat is eigenlijk niet zo relevant. Als er inderdaad een admin is geweest die zijn account-gegevens heeft laten jatten dan hadden ze natuurlijk net zo makkelijk zijn/haar ssh gegevens mee kunnen nemen.

Daarnaast lijkt het mij verstandig om voor ssh toegang in iedergeval multifactor authenticatie in te stellen.
Mee eens.
12-10-2011, 20:09 door Anoniem
ssh+tunnel, gefirewalled, met ssh-keys + passphrases. succes!
13-10-2011, 11:12 door Anoniem
Door Anoniem: phpmyadmin is onnodig en makkelijk uit te schakelen en beetje firewall kan hem ook toegang verbieden.
geen probleem dus

"We hadden met tegenzin toegang tot phpmyadmin aan de appdb-ontwikkelaars gegeven. Het is een handige tool en iets dat ze erg graag wilden. Maar het is een geliefd doelwit van hackers en klaarblijkelijk zijn onze pogingen om dit te verbergen en te patchen niet voldoende geweest." Inmiddels is phpmyadmin niet meer vanaf de buitenwereld toegankelijk.
13-10-2011, 16:24 door Night
Het oude verhaal van kalf en put. Ze vonden de voordelen van phpmyadmin zwaarder wegen dan de risico's. Nu het kalf verdronken is zijn ze van menig verandert.

Na het daadwerkelijk optreden van een risico wordt het zwaarder gewogen dan daarvoor, heel menselijk.
13-10-2011, 18:18 door Skizmo
Wine
Is
Not a
Emulator
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure