Abo
  • Services:
Anzeige

Server der Apache Software Foundation angegriffen

Angreifer verschaffen sich Zugang über JIRA zu weiteren ASF-Servern

Ein erfolgreicher Angriff auf die Server der Apache Software Foundation hat es Hackern ermöglicht, tausende von Passwörtern auszulesen. Benutzer der von Apache gehosteten JIRA, Bugzilla oder Confluence Server sollten ihre Passwörter ändern.

Die Hostingserver der Apache Software Foundation (ASF) sind kompromittiert worden. Betroffen sind der kommerzielle Server der Firma Atlassian, der den Issue-Tracker JIRA hostet (Atlassian JIRA), sowie der JIRA-Server bei Apache brutus.apache.org und der Haupt-Shell-Server people.apache.org (minotaur.apache.org).

Anzeige

Benutzer der JIRA-, Bugzilla- oder Confluence-Services werden aufgefordert, ihre Passwörter zu ändern. Insbesondere sind die Benutzer betroffen, die sich zwischen dem 6. und dem 9. April 2010 auf Apache JIRA angemeldet haben.

Laut Apache griffen die Hacker den Atlassian-JIRA-Server über zwei Vektoren an. Zunächst wurde eine Attacke per Cross-Site-Scripting (XSS) initiiert, die eine Cookie-Session eines angemeldeten Benutzers stehlen sollte. Dafür erstellten die Angreifer ein neues Ticket und betteten eine gespickte URL ein.

Zeitgleich wurde eine Brute-Force-Attacke gestartet, über die zahlreiche Passwörter ausprobiert wurden. Über einen dieser Angriffsvektoren verschafften sich die Angreifer Zutritt mit Rootrechten zum JIRA-Server, wo sie ungehindert Dateien und Verzeichnisse durchstöbern und über präparierte JSP-Dateien herunterladen konnten. Zusätzlich fingen sie Passworteingaben über die Login-Oberfläche ab.

Eines dieser Passwörter wurde von einem Administrator auch für das Login auf brutus.apache.org verwendet, der dort Sudo-Rechte besaß. Neben JIRA hostete dieser Server (brutus.apache.org) auch Confluence und Bugzilla. Dort wiederum konnten die Angreifer die gecachten Daten von Subversion-Zugängen auslesen und weitere Passwörter ergattern. Mit diesen konnten sie sich dann auf dem Haupt-Shell-Server minotaur.apache.org einloggen, dort aber keine Root-Rechte erlangen und somit wenig Schaden anrichten.

Nachdem das Apache-Team den Einbruch bemerkt hatte, wurden die entsprechenden Server heruntergefahren und gingen dann mit geänderten Passwörtern und entsprechenden Reparaturen wieder online. Lediglich der Server brutus.apache.org wurde komplett ausgetauscht, denn dort hatten die Angreifer mehrere Stunden einen Root-Zugang.


eye home zur Startseite
SourceR 15. Apr 2010

Ich denke, das ist nicht all zu schlimm, ein Brute-Force dauert eine ganze weile, wenn...

SourceR 15. Apr 2010

Linux ist Benutzerfreundlich, ist nur eben ein wenig Wählerisch bei seinen Freunden^^ Ich...

Leser 14. Apr 2010

Bitte konzentriert den Artikel lesen und erst dann weiterlabern: Die Angreifer...

Schnarchnase 14. Apr 2010

Bitte nicht fail2ban, das ist die denkbar ungünstigste Variante. Erstens wird das Skript...



Anzeige

Stellenmarkt
  1. SICK AG, Waldkirch bei Freiburg im Breisgau
  2. PROJECT Immobilien GmbH, Nürnberg
  3. Robert Bosch GmbH, Schwieberdingen
  4. Carl Werthenbach Konstruktionsteile GmbH & Co. KG, Bielefeld


Anzeige
Hardware-Angebote
  1. bei Caseking
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Star Wars Battlefront 2 Angespielt

    Der Todesstern aus Sicht der Kampagne

  2. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  3. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  4. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  5. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  6. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen

  7. ePrivacy-Verordnung

    Ausschuss votiert für Tracking-Schutz und Verschlüsselung

  8. Lifetab X10605 und X10607

    LTE-Tablets direkt bei Medion bestellen

  9. Gran Turismo Sport im Test

    Puristischer Fahrspaß - fast nur für Onlineraser

  10. Breitbandausbau

    Oettinger bedauert Privatisierung der Telekom



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

  1. Re: Sinn?

    Der Held vom... | 18:09

  2. Re: Sehr Kompakte Beschreibung

    zuschauer | 18:09

  3. Re: Wenn man dem System Linux schaden wöllte,

    unbuntu | 18:07

  4. Re: Touchscreen

    SelfEsteem | 18:06

  5. Re: Sollten lieber den Desktop komplett an MacOS...

    unbuntu | 18:05


  1. 18:03

  2. 17:50

  3. 17:35

  4. 17:20

  5. 17:05

  6. 15:42

  7. 15:27

  8. 15:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel