Sicherheitslücke bei Apache entdeckt: Passwörter zurückgesetzt

Hartmut Schlosser

Die Apache Foundation hat nach einem Sicherheitsproblem alle Passwörter der Apache-Committer zurückgesetzt. Alle Committer sind aufgerufen, ihre Passwörter zu ändern.

Grund ist, dass offenbar Kopien von Log-Dateien zirkulierten, die die Passwörter aller Apache-Committer enthielten. Diese sogenannten forensischen Logs beinhalteten alle Http Request Header, in denen zur Authentifizierung auch Usernamen und Passwörter abgelegt waren – zwar nicht in Klartext sondern über das Base64-Verfahren enkodiert, doch nicht verschlüsselt und über einfaches Reverse-Engineering lesbar zu machen.

Die Apache Foundation geht davon aus, dass diese Sicherheitslücke von niemandem böswillig ausgenutzt wurde. Es handele sich lediglich um einen Konfigurierungsfehler, der es nötig machte, alle Passwörter zurückzusetzen und das Logs-Archiv nur noch dem Root-Owner zugänglich zu machen. Die Möglichkeit des forensischen Loggings wurde abgeschaltet und existierende forensische Logs gelöscht. Ferner wurden ZFS Snapshots vernichtet, die diese Logs enthielten.

Alle Apache Committer wurden bereits informiert und aufgefordert, ihre Passwörter zu ändern. Passwörter, die nach dem Löschen der forensischen Logs nicht geändert wurden, wurden vom Apache root@-Team auf Zufallswerte zurückgesetzt.

Code-Änderungen an der Software von s.apache.org und svn.apache.org seien nicht nötig geworden, heißt es in der Mitteilung der Apache Foundation. Lediglich die Konfiguration sei geändert worden, sodass ähnliche Probleme in Zukunft ausgeschlossen seien.

Committer können sich bei Fragen oder Problemen an die Adresse root [at] apache.org wenden.

Geschrieben von
Hartmut Schlosser
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.