События

Сайты под управлением Anchor CMS выдают пароли к базам данных

Web-сайты под управлением Anchor CMS могут выдавать пароли своих баз данных в общественно доступных логах. Проблема была обнаружена голландским исследователем безопасности Тижме Гоммерсом (Tijme Gommers). По его словам, злоумышленник может пройти по ссылке site-name.com/anchor/errors.log и загрузить логи ошибок, которые в некоторых случаях содержат пароли БД в незашифрованном виде.

По данным системы для поиска исходного кода PublicWWW, в настоящее время порядка 500 сайтов под управлением Anchor CMS легко находятся online по атрибуту meta name. Портал Bleeping Computer загрузил логи ошибок и действительно обнаружил среди них пароли баз данных некоторых сайтов из поисковой выдачи PublicWWW.

Предполагается, что файл errors.log должен быть защищен, однако в дефолтных установках Anchor CMS доступ к нему открыт. Пользователи даже могут не знать важности файла, поскольку в документации Anchor CMS нигде не сказано о необходимости закрыть к нему публичный доступ. Однако дело даже не в отсутствии у файла errors.log надлежащей защиты. Система управления контентом в принципе не должна выдавать пароли БД в логах ошибок.

Как бы то ни было, Гоммерс не намерен сообщать о проблеме разработчикам Anchor CMS. «Я считаю, что это больше проблема DevOps», – заявил исследователь. По его мнению, в первую очередь сами владельцы сайтов должны позаботиться о закрытии доступа к errors.log.

DevOps – набор практик, нацеленных на активное взаимодействие специалистов по разработке со специалистами по информационно-технологическому обслуживанию и взаимную интеграцию их рабочих процессов друг в друга.

Источник

Автор: Сергей Куприянов
19.02.2018 (16:49)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.