Ars Technica - V sredo zvečer je spletna stran Drupal objavila, da so bili žrtev hekerskega napada, ki je prizadel milijon uporabnikov, saj so napadalci pridobili nekatere njihove osebne podatke. Sedaj je znanega več. Zaradi ranljivosti v tretjem programu, ki je bil nameščen na strežniku Drupal.org, so napadalci lahko pridobili naslednje podatke: uporabniška imena, elektronske naslove, državo bivanja in zgoščena vrednost (hash) gesla. Vsa gesla so bila shranjena zgoščeni (hashed) obliki z dodanimi naključnimi biti (salted), tako da neposredne nevarnosti za razbitje gesel ni. Samo nekaj starejših gesel na podstraneh je bilo le zgoščenih, a brez naključnih bitov.
Napadalci so dostop pridobili prek podstrani association.drupal.org, ki jo je Drupal takoj po odkritju ugasnil. Poleg tega so resetirali gesla milijona uporabnikov, ki se morajo za prijavo vpisati s svojim elektronskim naslovom, na katerega bodo prejeli novo geslo. Priporočajo, da si ga potem spremenijo. Drugih posledic za uporabnike ali programsko opremo, ki teče na Drupalu, ni.
Zaradi ranljivosti v tretjem programu, ki je bil nameščen na strežniku Drupal.org
Problem ni bil v CMSju, vendar v drugem ranljivem programu.
Drugače pa vsaka pogosto uporabljena oz. popularna programska oprema ima to težavo. Med to sodijo tudi operacijski sistemi (Windows), strežniški programi (Apache), ogrodja - frameworki (Ruby on Rails) in CMSji.
Če je problem v kateremkoli podpornemu programu, je CMS ranljiv, pa če je zaflikan do nule. Začuda so custom rešitve precej bolj odporne (seveda dokler jih izvaja nekdo, ki ima nekaj pojma), celo v primeru ranljivega drugega programa (tudi če pridobiš gesla, so ta zašifrirana v neznani enkripciji, kar je pogosto pri custom rešitvah, tako da so neuporabna za napad).
Prvo moram priznat, da sem se tudi sam z užitko hihital, ko se je vdiralo v Joomlo, Wordpress in podobno (čeprav so imeli slednji CMSi oz. lahko za nekatere mirno rečemo tudi blog CMSi še številne druge težave). Ampak, kot je že techfreak dejal je pač Drupal postal zanimi, ker vedno bolj popularen, mainstream in v praksi vedno bolj uporaben.
Če pa ste stvar pozorno prebrali pa je jasno, da sploh negre za nek hardcore vdor, ampak zgolj manjšo težave Drupala. V vsakem primeru Drupal v mojim očeh ostaja še vedno najbolj zrel CMS daleč naokrog. Res pa je da je zelo kompleksen v primerjavi s kakšnim drugim CMSom, kar seveda omogča veliko bolj resne projekte, je pa po drugi strani preveč balasten za kakšne mini projekte.
Kot sem že omenil za manjše projekte se uporabljajo kakšni bolj "vitki" in preprosti CMSji, ki pa so za kaj resnega seveda zelo limitirani oz. je za dosego nekega cenja biti lep primer mazohista, preden se neka stvar dejansko implementira. Custom made CMSji samo izgledajo varnejši, ker živ bog ne ve za njih, oz. nima nobenega interesa neko tako od boga pozabljeno stvar razbijat.
Sem pa na hitro pogledal tale Plone - se bom malce poigral z njim, ampak vidim da je community sorazmerno majhen, tudi dokumentacija je precej perela. Nebom pa več govoril o njem, dokler ga konkretno ne pregledam.
iElectric, če ti ni odveč daj za hec link do kakšnega resnega projekta, ki si ga naredil sam, kolega, za katerega se uporablja Plone?!
Steps to reproduce: Step 1. Use Mongo as WEB SCALE DOCUMENT STORE OF CHOICE LOL Step 2. Assume basic engineering principles applied throughout due to HEAVY MARKETING SUGGESTING AWESOMENESS. Step 3. Spend 6 months fighting plebbery across the spectrum, mostly succeed. Step 4. NIGHT BEFORE INVESTOR DEMO, TRY UPLOADING SOME DATA WITH "{$ref: '#/mongodb/plebtastic'" Step 5. LOL WTF?!?!? PYMONGO CRASH?? :OOO LOOOL WEBSCALE Step 6. It's 4am now. STILL INVESTIGATING b4cb9be0 pymongo/_cbsonmodule.c (Mike Dirolf 2009-11-10 14:54:39 -0500 1196) /* Decoding for DBRefs */ Oh Mike!!! Step 7. DISCOVER PYMONGO DOES NOT CHECK RETURN VALUES IN MULTIPLE PLACES. DISCOVER ORIGINAL AUTHOR SHOULD NOT BE ALLOWED NEAR COMPUTER 0558b0d4 pymongo/_cbsonmodule.c (Mike Dirolf 2009-06-08 15:06:12 -0400 1197) if (strcmp(buffer + position + 5, "$ref") == 0) { / DBRef */ f3da57be pymongo/_cbsonmodule.c (sibsibsib 2010-08-03 13:24:14 +0800 1198) PyObject* dbref; b4cb9be0 pymongo/_cbsonmodule.c (Mike Dirolf 2009-11-10 14:54:39 -0500 1199) PyObject* collection = PyDict_GetItemString(value, "$ref"); ... 30c253e6 pymongo/_cbsonmodule.c (Mike Dirolf 2010-06-22 12:29:20 -0400 1206) PyDict_DelItemString(value, "$id"); ... 6b0a9ccb pymongo/_cbsonmodule.c (Mike Dirolf 2010-06-21 15:15:00 -0400 1220) Py_DECREF(id); LOOOOL! OH MIKE OH MIKE!! BUT WHAT IF $ref DOESNT HAVE $id KEY? LOOL Step 8. REALIZE I CAN CRASH 99% OF ALL WEB 3.9 SHIT-TASTIC WEBSCALE MONGO-DEPLOYING SERVICES WITH 16 BYTE POST
RoR ima tudi vsake toliko časa zanimive buge z SQL injectonom. Včasih je zgleda boljše uporabljat nepopularno ala Pyramids, Yesod.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.
