Ein Nutzer konnte sich Zugriff auf unsere LDAP-Datenbasis verschaffen, und hat sowohl die E-Mail-Adressen und die Namen als auch die Kennwort-Hashes von allen, die bei identity.mageia.org angemeldet waren, ver\u00f6ffentlicht. Allerdings stimmen die ver\u00f6ffentlichten Hashes nicht mit den protokollierten \u00fcberein; des weiteren wurden alle Gro\u00dfbuchstaben entfernt, so dass es nicht klar ist, ob die aktuellen Kennw\u00f6rter gef\u00e4hrdet sind. Vorsorglich wurden dennoch alle Kennw\u00f6rter zur\u00fcckgesetzt. Zur Verhinderung von Zugriffen auf den LDAP-Server wurden neue Regeln eingestellt. Die Systemadministratoren untersuchen, wie das Auslesen der Felder erfolgt ist, weil die Konfiguration es eigentlich verhindern sollen h\u00e4tte.<\/p>\n
Die im Mageia-LDAP-Server gespeicherten Kennw\u00f6rter wurden in einen Hashwert umgerechnet, vorher allerdings mit einem zuf\u00e4lligen Fixwert erweitert („salted“). Das bedeutet, dass die vollst\u00e4ndige Entschl\u00fcsselung des Kennworts in ein als Kennwort verwendbares Format erhebliche Computer-Rechenleistung f\u00fcr sichere bzw. komplexe Kennw\u00f6rter erfordern w\u00fcrde. Obwohl die entwendeten Daten nur die Namen und E-Mail-Adressen aus identity.mageia.org enthalten, empfehlen wir den Nutzern dringend zu \u00fcberpr\u00fcfen, ob das Kennwort f\u00fcr den Mageia-Account auch anderswo verwendet wurde; und empfehlen daher, Kennw\u00f6rter zu \u00e4ndern, wo auch immer sie sonst noch verwendet werden.<\/p>\n
Um Zugang zur Mageia-Kennung wieder zu erlangen, sollte f\u00fcr alle Nutzer ohne git-Zugriff der Link zum Zur\u00fccksetzten des Kennwortes ausreichen. Dieser Link zum Zur\u00fccksetzen des Kennwortes wird nach einer Anforderung zum Kennwort-Reset auf der Seite https:\/\/identity.mageia.org\/forgot_password<\/a> per Mail zugeschickt.<\/p>\n Bei privilegierten Nutzern sollte ein Systemadministrator zwecks Wiederherstellung des Zugriffs kontaktiert werden<\/p>\n Wir entschuldigen uns aufrichtig f\u00fcr alle Probleme und Unannehmlichkeiten, die dadurch entstanden sind.<\/p>\n Original gepostet von Donald<\/a>, \u00fcbersetzt von wolde<\/p>\n","protected":false},"excerpt":{"rendered":" Ein Nutzer konnte sich Zugriff auf unsere LDAP-Datenbasis verschaffen, und hat sowohl die E-Mail-Adressen und die Namen als auch die Kennwort-Hashes von allen, die bei identity.mageia.org angemeldet waren, ver\u00f6ffentlicht. Allerdings stimmen die ver\u00f6ffentlichten Hashes nicht mit den protokollierten \u00fcberein; des … Weiterlesen