Colpito il sito di Bugzilla

Pochi giorni fa un ignoto aggressore ha creato scompiglio in uno dei sistemi di gestione dei bug di Mozilla, modificando alcune voci del database. La modalità di attacco non è ancora nota

Roma - Pochi giorni fa bugzilla.mozdev.org, il sito utilizzato da Mozilla.org per gestire le segnalazioni dei bug, ha subito un attacco che, per alcune ore, ha generato parecchia confusione fra i suoi utenti.

Secondo quanto riportato dallo sviluppatore Henrik Gemal nel proprio blog, martedì scorso "è partita un moltitudine di e-mail da bugzilla.mozdev.org contenenti alcuni commenti e azioni".

Uno sconosciuto, che ha utilizzato l'indirizzo di posta elettronica Sexymeluckyyou73@yahoo.com, ha cambiato lo stato di tutti i bug ancora aperti in "risolti". Gemal ha spiegato che tutte le e-mail con cui l'ignoto vandalo ha modificato lo stato dei bug riportavano il seguente messaggio: "Questi bug non li ho trovati io, stavano lì quando ho comprato il computer".
Cosa abbia reso possibile l'attacco non è ancora noto, tuttavia Gemal sospetta che la colpa sia da attribuire al modo stesso in cui funziona il sistema di tracking dei bug.

"Questo è il più grande attacco a Bugzilla a cui abbia mai assistito. Non sono sicuro di cosa possa essere fatto per prevenirlo", ha detto lo sviluppatore. "Chiunque può crearsi un account di Bugzilla e chiunque può cambiare tutte le segnalazioni dei bug. Questo è il bello di Bugzilla ma, nello stesso tempo, anche il suo tallone d'Achille".

Un altro membro della comunità di sviluppo di Mozilla, Gervase Markham, ha però precisato che il funzionamento di Bugzilla dipende da come è configurata l'installazione del software.

"La configurazione utilizzata da Bugzilla assegna agli account con bassi privilegi solo il permesso di aggiungere un bug e commentarlo, niente di più", ha detto Markham. "Al massimo si può fare dello spam, ma non certo modificare il database".

Le ipotesi sembrano dunque due: o l'aggressore ha utilizzato un account (magari rubato) con privilegi più elevati oppure ha sfruttato una vulnerabilità del sistema.

Di recente Bugzilla ha raggiunto la versione 2.18, il primo aggiornamento nell'arco di quasi tre anni. In questa release sono stati corretti oltre un migliaio di errori, è stato migliorato il sistema open source di gestione dei bug ed è stata drasticamente semplificata la procedura d'installazione sotto Windows.
41 Commenti alla Notizia Colpito il sito di Bugzilla
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)