libreplanet-br-sp
[Top][All Lists]
Advanced

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [lp-br-sp] [URGENTE] Vulnerabilidade openssl + hashed passwords pro


From: Sergio Durigan Junior
Subject: Re: [lp-br-sp] [URGENTE] Vulnerabilidade openssl + hashed passwords pro Jabber
Date: Thu, 10 Apr 2014 18:13:29 -0300
User-agent: Gnus/5.13 (Gnus v5.13) Emacs/24.3 (gnu/linux)

On Thursday, April 10 2014, Ricardo Panaggio wrote:

> On 04/08/2014 03:11 PM, Sergio Durigan Junior wrote:
>> Além disso, eu infelizmente vi que as senhas do Jabber estão em
>> plaintext!  Um "Porra, Panaggio", porque o Panaggio tinha dito que não
>> tinha esse problema com o prosody (quando eu vi que as senhas do
>> jabberd2 também eram armazenadas em plaintext quando se usava sqlite
>> como BD).
>
> O Prosody suporta armazenar a senhas hasheadas, mas não faz isso por
> padrão. Eu não sabia da segunda parte, e nos 3 servidores onde eu
> mantinha o prosody eu tinha feito a mesma merda. Corrigi geral.

Tava escrito no config file :-).

De qualquer modo, eu já tinha alterado isso no servidor quando enviei
essa mensagem.  Eu não vi a senha de ninguém (a não ser do usuário
"teste"), como eu tinha dito.

> Eu sugiro que todos troquem suas senhas. Eu dei um cat nos arquivos
> "sem querer", e posso ter visto a senha de alguém. Sugiro trocar as
> senhas de toda forma, já que estavam em plain text. E sugiro trocar a
> senha em outros lugares, se você reusar essa senha.

Se quiserem trocar a senha do Jabber, mandem ver.  Sinceramente não acho
que seja necessário trocar a senha em outros serviços, porque eu confio
no Panaggio e sei que mais ninguém "viu" as senhas além dele.  Mas isso
vai por conta de cada um, claro :-).

> Foi mal pela bola fora :((((

Rodada de bebida no próximo bar por conta do Panaggio!

-- 
Sergio



reply via email to

[Prev in Thread] Current Thread [Next in Thread]