|
| From: | Ricardo Panaggio |
| Subject: | Re: [lp-br-sp] [URGENTE] Vulnerabilidade openssl + hashed passwords pro Jabber |
| Date: | Thu, 10 Apr 2014 17:17:01 -0300 |
| User-agent: | Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/20131103 Icedove/17.0.10 |
On 04/08/2014 03:11 PM, Sergio Durigan Junior wrote:
Além disso, eu infelizmente vi que as senhas do Jabber estão em plaintext! Um "Porra, Panaggio", porque o Panaggio tinha dito que não tinha esse problema com o prosody (quando eu vi que as senhas do jabberd2 também eram armazenadas em plaintext quando se usava sqlite como BD).
O Prosody suporta armazenar a senhas hasheadas, mas não faz isso por padrão. Eu não sabia da segunda parte, e nos 3 servidores onde eu mantinha o prosody eu tinha feito a mesma merda. Corrigi geral.
Eu sugiro que todos troquem suas senhas. Eu dei um cat nos arquivos "sem querer", e posso ter visto a senha de alguém. Sugiro trocar as senhas de toda forma, já que estavam em plain text. E sugiro trocar a senha em outros lugares, se você reusar essa senha.
Foi mal pela bola fora :(((( -- Ricardo Panaggio ps: Eu troquei de e-mail. Estou respondendo com o novo e-mail (address@hidden). Por favor, atualizem sua(s) agendas! Em breve vou parar de acessar e usar todos os meus e-mail antigos (address@hidden e address@hidden)!
| [Prev in Thread] | Current Thread | [Next in Thread] |