Ubuntu官網論壇再次被黑，又是SQL注入惹的禍

ubuntu官網論壇再次被黑，又是sql注入惹的禍

近日ubuntu官方論壇被黑，洩露了超過200萬資料，本次洩露的使用者資料報括ip位址、使用者名稱和電子郵件位址。據官方透露，這是因為論壇系統補丁的缺失，才導致了使用者資料的洩露。

但是大家需要知道，本次攻擊事件並不會影響ubuntu作業系統，也不是由於作業系統的漏洞引起的。據最初報道的betanews所述，這次資料洩露只影響了ubuntu官網的「作業系統論壇」。

canonical公司的ceo jane silber在一篇博文中寫道：

「很抱歉在ubuntu官方論壇**上出現了安全漏洞，我們本身是非常重視資訊保安和使用者隱私的，平時也遵循了一套嚴格的安全實踐標準。在這次事件後，我們進行了一場徹底調查。」

「我們已經採取了挽救措施，ubuntu論壇的全部服務已經恢復。為了這次事件的透明性，我們會分享漏洞的細節，以及相應的修補措施。並且，我們為資料洩露事件和論壇出現的漏洞，向大家表示誠懇的歉意。」

論壇外掛程式forumrunnersql注入xday

經過深入調查後，發現罪魁禍首是論壇外掛程式forumrunner的sql注入xday，因為沒有及時打上補丁，才導致了使用者資料的洩露。事實上這聽起來很糟糕，也證明了安全最弱的環節，仍然是人為的這一塊。

官方論壇作為ubuntu單點登入的入口，表裡儲存的密碼是隨機字串(salt+hash)，黑客這次並沒有能直接獲取密碼明文。儘管canonical官方迅速修補了漏洞，但這仍然很讓人失望。由於該公司未及時打上漏洞補丁，才導致了這次大型資料洩露事件的發生。