- Частині переселенців можуть призупинити виплати у липні
- Як українські АЗС перебудовують свою роботу після ворожих атак
- В Україні зафіксували рекордний дефіцит працівників
- Відстрочка чи бронювання: у Міноборони пояснили різницю
- Тариф на газ з 1 серпня 2026 року: скільки доведеться платити за 1 кубометр
Сайты под управлением Anchor CMS выдают пароли к базам данных
19.02.2018
Web-сайты под управлением Anchor CMS могут выдавать пароли своих баз данных в общественно доступных логах.
Проблема была обнаружена голландским исследователем безопасности Тижме Гоммерсом (Tijme Gommers). По его словам, злоумышленник может пройти по ссылке site-name.com/anchor/errors.log и загрузить логи ошибок, которые в некоторых случаях содержат пароли БД в незашифрованном виде.
По данным системы для поиска исходного кода PublicWWW, в настоящее время порядка 500 сайтов под управлением Anchor CMS легко находятся online по атрибуту meta name. Портал Bleeping Computer загрузил логи ошибок и действительно обнаружил среди них пароли баз данных некоторых сайтов из поисковой выдачи PublicWWW.
Предполагается, что файл errors.log должен быть защищен, однако в дефолтных установках Anchor CMS доступ к нему открыт. Пользователи даже могут не знать важности файла, поскольку в документации Anchor CMS нигде не сказано о необходимости закрыть к нему публичный доступ. Однако дело даже не в отсутствии у файла errors.log надлежащей защиты. Система управления контентом в принципе не должна выдавать пароли БД в логах ошибок.
Как бы то ни было, Гоммерс не намерен сообщать о проблеме разработчикам Anchor CMS. «Я считаю, что это больше проблема DevOps», – заявил исследователь. По его мнению, в первую очередь сами владельцы сайтов должны позаботиться о закрытии доступа к errors.log.
DevOps – набор практик, нацеленных на активное взаимодействие специалистов по разработке со специалистами по информационно-технологическому обслуживанию и взаимную интеграцию их рабочих процессов друг в друга.
Источник: securitylab.ru




