Тот, кто еще не пропатчил обнаруженную позавчера в
системе управления
контентом Typo3 дыру, должен сделать это безотлагательно. Уязвимые страницы
можно легко обнаружить в Google, после чего взломать.
Министр внутренних дел ФРГ Вольфганг Шойбле позавчера ночью
убедился в этом на собственном горьком опыте, увидев, что на его сайте
установлена ссылка на ресурс рабочей группы немецких активистов
German Working
Group on Data Retention, протестующих против слежения за интернет-трафиком.
Хакеры были учтивы настолько, что оставили администраторам информацию о том, как
именно они проникли на сайт, упомянув об обновлении Typo3. Очевидно, им удалось
получить доступ к файлу конфигурации localconf.php при помощи специально
подобранного URL. Однако более тревожным является то обстоятельство, что для
обнаружения хэша администраторского пароля они воспользовались поисковиком
Google, после чего легко взломали его.
Сайт господина
Шойбле по состоянию на эту среду все еще не функционировал, а хэш пароля к
его сайту (gewinner) можно
найти здесь. Добавим, что это уже третий случай, когда сайты министров
испытывают проблемы с безопасностью.