El popular sitio web SourceForge ha sido objeto de un grave compromiso
de seguridad, dado a conocer a principios de Junio de 2.001.
SourceForge es un proyecto totalmente gratuito diseñado para
proporcionar infraestructura tecnológica a proyectos y desarrollos
software, fundamentalmente dentro del ámbito «Open Source». Proporciona
página web personal para cada proyecto, sistema de control de versiones,
listas de correo, «trackers» de bugs, peticiones de mejoras, etc.,
herramientas de notificación de eventos, y muchos más servicios. Se
trata de un verdadero pilar de la comunidad «Open Source», ya que
facilita la creación de nuevos proyectos sin que sus autores deban
dedicar ningún tipo de infraestructura propia.
En estos momentos SourceForge cuenta con 204.371 usuarios registrados, y
hospeda 23.039 proyectos.
Los atacantes instalaron un servicio SSH modificado para capturar
nombres de usuario, contraseñas y máquinas, lo que les permitía atacar
otros sistemas utilizando usuarios y contraseñas reales. De hecho el
ataque sobre la ASF, que se documentará en el próximo boletín, tuvo
lugar de esta manera.
SourceForge recomienda a todos los usuarios que hayan utilizado sus
servicios, que modifiquen la clave en cualquier sistema cuya clave de
acceso coincida con la clave SourceForge, y que modifiquen la clave
SourceForge misma.
Una vez más insistimos a nuestros lectores en la conveniencia de no
reutilizar las claves en servicios diferentes, sobre todo cuando estamos
hablando de servicios o privilegios de acceso críticos. Cada servicio
debería, idealmente, tener sino un nombre de usuario distinto, sí al
menos una clave diferente.
SourceForge no ha proporcionado detalles sobre los mecanismos utilizados
por el ataque en sí.
jcea@hispasec.com
Más información:
SourceForge
http://sourceforge.net/
Linux hackers fall victim to crackers
http://www.theregister.co.uk/content/8/19255.html
SourceForge Server Compromised
http://slashdot.org/developers/01/05/28/2242201.shtml
.f.k.u.f.f.y.b.u.n.n.u.x.
http://defaced.alldas.de/mirror/2001/05/31/themes.org/
SourceForge
http://sourceforge.net/
Deja una respuesta