Wie Jared K. Smith in einer Email an die Liste des Projektes bestätigte, konnte ein unbekannter Täter über gestohlene Zugangsdaten Zugriff auf Fedora-Server gelangen. Schaden sei jedoch keiner enstanden. Ebenso sollen keine Pakete manipuliert worden sein.
gegeben. Projektleiter Jared K. Smith teilte mit, dass man auf das Problem aufmerksam wurde, als ein Mitarbeiter eine Email vom Fedora-Accounts-System erhielt, dass Anwenderdaten verändert wurden. Der oder die unbekannten Täter haben laut Smith keine Lücke oder eine interne Schwachstelle des Systems ausgenutzt, sondern offenbar über kompromittierte Zugangsdaten den Weg in das Fedora-Projekt gefunden.
Eine vom Fedora-Infrastruktur-Team gestartete Untersuchung habe ergeben, dass das Konto über keine weitreichenden Rechte verfügte. Der betroffene Account soll demnach Rechte für den Zugriff auf fedorapeople.org per SSH gehabt haben. Zwar wäre es dem Inhaber möglich gewesen, Fedora-Pakete zu erstellen. Von der letztgenannten Möglichkeit hat der Angreifer allerdings keinen Gebrauch gemacht. Lediglich ein Login auf fedorapeople.org und die Änderung der Account-SSH-Keys sei durchgeführt worden.
Wie Smith schreibt, seien keine Änderungen an Paketen oder Builds von Paketen durchgeführt worden. Ferner wurden auch keine neuen Pakete in die Distribution aufgenommen. Man sei sich zudem sicher, dass keine anderen Fedora-Konten kompromittiert wurden. Allerdings sind noch nicht alle Untersuchungen abgeschlossen. Der Projektleiter nutzte die Gelegenheit auch dazu, daran zu erinnern, dass Anwender »starke« Passwörter nutzen und verdächtige Aktivitäten melden sollen.
){kind=logo}
