 Administracja SourceForge, największego na świecie repozytorium oprogramowania Open Source, została zmuszona do unieważnienia haseł wszystkich użytkowników w związku z faktem, że na ich serwer przeprowadzono atak.
Włamanie odkryto na serwerze CVS, gdzie znajduje się ponad 250 tysięcy projektów, w tym Audacity, AbiWord, VLC Media Player oraz 7-ZIP. W rezultacie niektóre z usług zostały wyłączone. Zamknięto dostęp do hostingu CVS, interfejs webowy do kontroli wersji ViewVC, możliwość pobierania nowych wersji, a także interaktywny program powłoki Inteactive Shell.
System sterowania repozytorium jest dla włamywaczy bardzo atrakcyjnym celem. Przede wszystkim mogą oni dzięki niemu wprowadzić do obiegu swój złośliwy kod. Na dodatek nie wiadomo, gdzie taki kod lub wprowadzone zmiany mogłyby się znajdować. Niestety osoby pracujące przy oprogramowaniu nie dostaną także żadnych powiadomień o zmianach. W tej chwili może dojść do tego, że backdoor wprowadzony przez hakera, pojawi się również w następnych wersjach rozwojowych, jak było w przypadku projektu ProFTP.
Obecnie zespół projektu zbadał problem, jednak nie ujawnia szczegółów. Na wszelki wypadek administracja postanowiła anulować wszystkie hasła, o czym wszyscy zostali poinformowani mailem. Wszyscy będą musieli przejść obowiązkową procedurę odzyskiwania hasła.
Źródło: http://www.anti-malware.ru/ |
