Робин Бергерон (Robyn Bergeron), лидер проекта Fedora, опубликовал уведомление о выявлении ошибки в системе управления аккаунтами разработчиков дистрибутива, которая могла привести к утечке данных об учётных записях разработчиков проекта, на стадии, когда аккаунты ещё не прошли подтверждение. Среди информации, которая могла попасть не в те руки присутствуют хэши паролей (SHA-512 с солью), тайные вопросы и зашифрованные ответы для восстановления пароля и персональные данные. Отмечается, что проблема присутствует в инфраструктуре с 2008 года, но эксплуатация уязвимости возможна только с использованием аккаунта авторизированного пользователя. Для эксплуатации уязвимости было достаточно отправить к скрипту экспорта данных в формате JSON специально оформленный запрос вывода списка неподтверждённых записей, который приводил к выводу всех полей, в том числе закрытых. Предварительный анализ логов первичной системы управления аккаунтами не выявил активности, свидетельствующей о проведении атак, использующих данную уязвимость. При этом для вспомогательных систем получить подтверждение об отсутствии утечки информации не удалось из-за отсутствия ведения необходимых логов. В связи с обнаруженной проблемой, всем пользователям, имеющим аккаунты в инфраструктуре Fedora, рекомендовано, но не навязывается, произвести смену паролей и обновить вопросы/ответы для восстановления доступа.
Источник