セキュリティ情報
「JIRA」をホスティングしたサーバへの攻撃が発生、パスワード流出の恐れ
The Apache Software Foundationは4月13日、バグトラッキングソフト「JIRA」をホスティングしているサーバへの攻撃を確認したと発表した。この攻撃によって、JIRA、Bugzilla、Confluenceをホスティングしたサーバにおいて、ユーザのハッシュ化されたパスワードが流出した恐れがあると警告した。
この攻撃は、クロスサイトスクリプティング攻撃によりJIRAの管理権限を乗っ取るという攻撃。また、クロスサイトスクリプティングと同時にブルートフォース攻撃(パスワード総当り攻撃)もかけられ、JIRAアカウントの管理者権限が乗っ取られたという。これにより、ユーザのパスワードが流出した可能性があるという。なお、The Apache Foundationは、被害を受けたサーバを別のマシンに移し、既にJIRAとBugzillaの復旧を済ませている。
(川原 龍人/びぎねっと)
[関連リンク]
Blogによる記事