Ubuntu官网论坛再次被黑，又是SQL注入惹的祸

xman

近日Ubuntu官方论坛被黑，泄露了超过200万数据，本次泄露的用户数据包括IP地址、用户名和电子邮件地址。据官方透露，这是因为论坛系统补丁的缺失，才导致了用户数据的泄露。

但是大家需要知道，本次攻击事件并不会影响Ubuntu操作系统，也不是由于操作系统的漏洞引起的。据最初报道的BetaNews所述，这次数据泄露只影响了Ubuntu官网的“操作系统论坛”。

Canonical公司的CEO Jane Silber在一篇博文中写道：

“很抱歉在Ubuntu官方论坛网站上出现了安全漏洞，我们本身是非常重视信息安全和用户隐私的，平时也遵循了一套严格的安全实践标准。在这次事件后，我们进行了一场彻底调查。”

“我们已经采取了挽救措施，Ubuntu论坛的全部服务已经恢复。为了这次事件的透明性，我们会分享漏洞的细节，以及相应的修补措施。并且，我们为数据泄露事件和论坛出现的漏洞，向大家表示诚恳的歉意。”

论坛插件ForumrunnerSQL注入Xday

经过深入调查后，发现罪魁祸首是论坛插件Forumrunner的SQL注入Xday，因为没有及时打上补丁，才导致了用户数据的泄露。事实上这听起来很糟糕，也证明了安全最弱的环节，仍然是人为的这一块。

攻击者利用SQL注入漏洞，从论坛数据库里下载了部分数据，即约200万用户的用户名、电子邮件地址和IP地址信息。

官方论坛作为Ubuntu单点登录的入口，表里储存的密码是随机字符串（salt+hash），黑客这次并没有能直接获取密码明文。尽管Canonical官方迅速修补了漏洞，但这仍然很让人失望。由于该公司未及时打上漏洞补丁，才导致了这次大型数据泄露事件的发生。

来源：FreeBuf 作者：dawner 原文链接：http://www.freebuf.com/news/109312.html