Drupal.org komandas, kas atbildīgas par drošību un infrastruktūru, ir atklājušas neautorizētu piekļuvi Drupal.org un groups.drupal.org kontu informācijai.
Šī neautorizētā piekļuve tika veikta, izmantojot uz Drupal.org servera insfrastruktūras instalētu trešās puses programmatūru.
SVARĪGI! Šī piekļuve NAV radusies Drupal ievainojamības rezultātā. Šīs paziņojums attiecas uz Drupal.org lietotāju kontu datiem, NEVIS UZ VIETNĒM UN SISTĒMĀM, KO DARBINA DRUPAL.
Kas tiek darīts? Drupal.org komanda aktīvi strādā pie ievainojamības faktoru novēršanas un papildus aizsardzības nodrošināšanas. KATRS DRUPAL.ORG LIETOTĀJS IR AICINĀTS NOMAINĪT SAVU PAROLI: https://drupal.org/user/password.
Ja tāda pati parole ir izmantota citos jūsu kontos/profilos, arī tur vēlams veikt izmaiņas. Iesakam izmantot paroļu pārvaldīšanas servisu pakalpojumus, piemēram, LastPass, 1Password, KeePass.
Vai tas nozīmē, ka Drupal ir drošības problēmas? Nē, Drupal ir spēcīga drošības uzraudzības un nodrošināšanas komanda, kas nepārtraukti seko līdzi jebkāda veida izmaiņām. Kā tika minēts iepriekš, šajā gadījumā piekļuve tika veikta, izmantojot trešās puses programmatūru.
Uzņēmumiem, kuriem ir Drupal vietnes nav pamata uztraukumam. Minētie drošības traucējumi attiecas tikai uz Drupal.org un groups.drupal.org lietotāju profiliem!
Papildus informācijai: https://drupal.org/news/130529SecurityUpdate
Komentāri
Kaut kur gadījās lasīt, ka patiesībā minētā problēma atklāta tikai uz viena no apakšsaitiem, kurš izmanto kopējo lietotāju bāzi, sso autorizācijai. Ja nemaldos, "association.drupal.org", bet d.o. drošības komanda nolēma noresetot visas paroles, pat ja citi serveri nav ietekmēti. Tas principā nozīmē, ka paroļu heši tika iegūti tikai no daļas lietotāju, kas kādreiz bijuši minētajā apakšsaitā.
Jebkurā gadijumā, parole jāmaina tā vai tā un ja tāda pati ir izmantota citur (nekad tā nedaram), tad nepieciešams to mainīt arī tur. par laimi, mūsdienās paroles vairs nav jāatcerās (kurš gan kaut ko tādu varētu), iesaku izmantot kādu no Ilzes pieminētajiem risinājumiem - LastPass, 1Password, KeePass.