[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [lp-br-sp] [URGENTE] Vulnerabilidade openssl + hashed passwords pro
|
From: |
Sergio Durigan Junior |
|
Subject: |
Re: [lp-br-sp] [URGENTE] Vulnerabilidade openssl + hashed passwords pro Jabber |
|
Date: |
Thu, 10 Apr 2014 18:13:29 -0300 |
|
User-agent: |
Gnus/5.13 (Gnus v5.13) Emacs/24.3 (gnu/linux) |
On Thursday, April 10 2014, Ricardo Panaggio wrote:
> On 04/08/2014 03:11 PM, Sergio Durigan Junior wrote:
>> Além disso, eu infelizmente vi que as senhas do Jabber estão em
>> plaintext! Um "Porra, Panaggio", porque o Panaggio tinha dito que não
>> tinha esse problema com o prosody (quando eu vi que as senhas do
>> jabberd2 também eram armazenadas em plaintext quando se usava sqlite
>> como BD).
>
> O Prosody suporta armazenar a senhas hasheadas, mas não faz isso por
> padrão. Eu não sabia da segunda parte, e nos 3 servidores onde eu
> mantinha o prosody eu tinha feito a mesma merda. Corrigi geral.
Tava escrito no config file :-).
De qualquer modo, eu já tinha alterado isso no servidor quando enviei
essa mensagem. Eu não vi a senha de ninguém (a não ser do usuário
"teste"), como eu tinha dito.
> Eu sugiro que todos troquem suas senhas. Eu dei um cat nos arquivos
> "sem querer", e posso ter visto a senha de alguém. Sugiro trocar as
> senhas de toda forma, já que estavam em plain text. E sugiro trocar a
> senha em outros lugares, se você reusar essa senha.
Se quiserem trocar a senha do Jabber, mandem ver. Sinceramente não acho
que seja necessário trocar a senha em outros serviços, porque eu confio
no Panaggio e sei que mais ninguém "viu" as senhas além dele. Mas isso
vai por conta de cada um, claro :-).
> Foi mal pela bola fora :((((
Rodada de bebida no próximo bar por conta do Panaggio!
--
Sergio