Ein Nutzer konnte sich Zugriff auf unsere LDAP-Datenbasis verschaffen, und hat sowohl die E-Mail-Adressen und die Namen als auch die Kennwort-Hashes von allen, die bei identity.mageia.org angemeldet waren, veröffentlicht. Allerdings stimmen die veröffentlichten Hashes nicht mit den protokollierten überein; des weiteren wurden alle Großbuchstaben entfernt, so dass es nicht klar ist, ob die aktuellen Kennwörter gefährdet sind. Vorsorglich wurden dennoch alle Kennwörter zurückgesetzt. Zur Verhinderung von Zugriffen auf den LDAP-Server wurden neue Regeln eingestellt. Die Systemadministratoren untersuchen, wie das Auslesen der Felder erfolgt ist, weil die Konfiguration es eigentlich verhindern sollen hätte.
Die im Mageia-LDAP-Server gespeicherten Kennwörter wurden in einen Hashwert umgerechnet, vorher allerdings mit einem zufälligen Fixwert erweitert („salted“). Das bedeutet, dass die vollständige Entschlüsselung des Kennworts in ein als Kennwort verwendbares Format erhebliche Computer-Rechenleistung für sichere bzw. komplexe Kennwörter erfordern würde. Obwohl die entwendeten Daten nur die Namen und E-Mail-Adressen aus identity.mageia.org enthalten, empfehlen wir den Nutzern dringend zu überprüfen, ob das Kennwort für den Mageia-Account auch anderswo verwendet wurde; und empfehlen daher, Kennwörter zu ändern, wo auch immer sie sonst noch verwendet werden.
Um Zugang zur Mageia-Kennung wieder zu erlangen, sollte für alle Nutzer ohne git-Zugriff der Link zum Zurücksetzten des Kennwortes ausreichen. Dieser Link zum Zurücksetzen des Kennwortes wird nach einer Anforderung zum Kennwort-Reset auf der Seite https://identity.mageia.org/forgot_password per Mail zugeschickt.
Bei privilegierten Nutzern sollte ein Systemadministrator zwecks Wiederherstellung des Zugriffs kontaktiert werden
Wir entschuldigen uns aufrichtig für alle Probleme und Unannehmlichkeiten, die dadurch entstanden sind.
Original gepostet von Donald, übersetzt von wolde
Pingback: Wöchentliche Zusammenfassung 2018 – Woche 7 & 8 | Mageia Blog (Deutsch)