Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

You are here: Home / General / Compromiso de seguridad en SourceForge

Compromiso de seguridad en SourceForge

Por Leave a Comment

El popular sitio web SourceForge ha sido objeto de un grave compromiso
de seguridad, dado a conocer a principios de Junio de 2.001.
SourceForge es un proyecto totalmente gratuito diseñado para
proporcionar infraestructura tecnológica a proyectos y desarrollos
software, fundamentalmente dentro del ámbito «Open Source». Proporciona
página web personal para cada proyecto, sistema de control de versiones,
listas de correo, «trackers» de bugs, peticiones de mejoras, etc.,
herramientas de notificación de eventos, y muchos más servicios. Se
trata de un verdadero pilar de la comunidad «Open Source», ya que
facilita la creación de nuevos proyectos sin que sus autores deban
dedicar ningún tipo de infraestructura propia.

En estos momentos SourceForge cuenta con 204.371 usuarios registrados, y
hospeda 23.039 proyectos.

Los atacantes instalaron un servicio SSH modificado para capturar
nombres de usuario, contraseñas y máquinas, lo que les permitía atacar
otros sistemas utilizando usuarios y contraseñas reales. De hecho el
ataque sobre la ASF, que se documentará en el próximo boletín, tuvo
lugar de esta manera.

SourceForge recomienda a todos los usuarios que hayan utilizado sus
servicios, que modifiquen la clave en cualquier sistema cuya clave de
acceso coincida con la clave SourceForge, y que modifiquen la clave
SourceForge misma.

Una vez más insistimos a nuestros lectores en la conveniencia de no
reutilizar las claves en servicios diferentes, sobre todo cuando estamos
hablando de servicios o privilegios de acceso críticos. Cada servicio
debería, idealmente, tener sino un nombre de usuario distinto, sí al
menos una clave diferente.

SourceForge no ha proporcionado detalles sobre los mecanismos utilizados
por el ataque en sí.

Jesús Cea Avión
jcea@hispasec.com

Más información:

SourceForge
http://sourceforge.net/

Linux hackers fall victim to crackers
http://www.theregister.co.uk/content/8/19255.html

SourceForge Server Compromised
http://slashdot.org/developers/01/05/28/2242201.shtml

.f.k.u.f.f.y.b.u.n.n.u.x.
http://defaced.alldas.de/mirror/2001/05/31/themes.org/

SourceForge
http://sourceforge.net/

Reader Interactions

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.