Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Freitag, 12 April 2019 | Blog: 1 | No: 42889
Benutzt hier jemand Matrix (den Crypto-Messenger)?
Der Bug war nicht in deren Matrix-Code, sondern in deren Drumherum-Scheiß, wo sie einen Jenkins hatten, der per SSH erreichbar war, und da lagen zu allem Überfluss dann auch noch die GPG-Keys herum, mit denen sie ihre Debian-Pakete signieren. Das lässt keine direkten Rückschlüsse auf die Codequalität zu, aber das ist ein weiterer Fall von "Projekt von seiner eigenen Devops-Komplexität erschlagen". Und wenn die da schon so schlampen, dann fragt man sich schon, ob man dem Rest trauen kann. Auf der Kiste, auf der er sich einloggen konnte, war gerade jemand anderes mit SSH Agent Forwarding eingelogt, der Root-Zugriff anderswo hatte. Ganz großes Kino.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Freitag, 12 April 2019 | Blog: 1 | No: 42889
Benutzt hier jemand Matrix (den Crypto-Messenger)?
An attacker gained access to the servers hosting Matrix.org. The intruder had access to the production databases, potentially giving them access to unencrypted message data, password hashes and access tokens. As a precaution, if you're a matrix.org user you should change your password now.Das war wohl ein netter Hacker, der parallel schön Tickets aufgemacht hat.Der Bug war nicht in deren Matrix-Code, sondern in deren Drumherum-Scheiß, wo sie einen Jenkins hatten, der per SSH erreichbar war, und da lagen zu allem Überfluss dann auch noch die GPG-Keys herum, mit denen sie ihre Debian-Pakete signieren. Das lässt keine direkten Rückschlüsse auf die Codequalität zu, aber das ist ein weiterer Fall von "Projekt von seiner eigenen Devops-Komplexität erschlagen". Und wenn die da schon so schlampen, dann fragt man sich schon, ob man dem Rest trauen kann. Auf der Kiste, auf der er sich einloggen konnte, war gerade jemand anderes mit SSH Agent Forwarding eingelogt, der Root-Zugriff anderswo hatte. Ganz großes Kino.
Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
