今日停机事件
大约在 11 月 9 日星期六上午 11:20 UTC 左右,Django 团队注意到 Twitter 上有人发布了声称已获得 Django 项目服务器未授权访问权限的信息。相关推文声称,用于持续集成测试的服务器容易受到Shellshock 系列漏洞之一的影响,并且已利用 Shellshock 漏洞获取了该服务器的访问权限。推文中还包含声称显示服务器登录会话的屏幕截图,以及声称获得访问权限的人能够访问用于代码库和测试集成的 API 密钥。
Django 团队的立即反应是将所有 Django 项目服务器/网站(包括但不限于 www.djangoproject.com 和 code.djangoproject.com)下线,并开始对这些服务器进行镜像分析,以确定是否确实发生了未经授权的访问,如果是,则由谁以及通过何种方式进行访问。
此外,Django 项目官方 Twitter 账户和核心团队成员在 Twitter 和其他流行的社交新闻/媒体网站上发布帖子,告知社区这些网站和服务已故意下线,并且我们正在调查服务器未经授权访问的索赔,以及在停机期间如何安全地获取 Django 的打包版本和文档。
大约两小时后,我们的服务器基础设施再次上线。
目前看来,访问权限的索赔是虚假的;我们没有发现任何 Django 项目服务器或 Django 项目基础设施使用的任何服务的未经授权访问或异常活动。
由于最直接的担忧之一是 Django 发布包的完整性,因此已对 Django 的最新版本和部分历史版本进行了手动验证。
- djangoproject.com 上托管的软件包已通过其发布的校验和进行验证,校验和本身也通过附加在其上的 PGP 签名进行了验证。
- Python 包索引上托管的软件包已通过校验和和 PGP 签名进行验证。
- GitHub 上 Django 主代码库中标记的版本使用 PGP 签名的 Git 标签进行标记。已验证标签及其签名。
因此,我们相信这些官方渠道(直接托管在 djangoproject.com 上的软件包、Python 包索引上托管的软件包以及通过执行官方 GitHub 代码库的 Git 检查获得的版本)是未受损的,Django 用户可以继续通过这些方式安装,无需担心。
对于今天上午访问我们网站和服务的停机,我们向社区表示歉意,但鉴于情况,我们认为将 Django 项目的服务器下线进行调查是正确的应对措施。我们非常感谢今天上午社区成员提供的支持和理解的回复。
出于谨慎起见,我们将在未来几天继续调查此事件。如果我们发现任何可能导致对 Django 项目服务器基础设施、代码或版本的完整性产生担忧的信息或证据,我们将做出适当的回应,包括向 Django 社区提供相关信息,以确保我们的用户及其基于 Django 的项目保持安全。
我们还想借此机会提醒大家,Django 团队非常重视 Django 及其基础设施的安全性,并致力于负责任地处理和披露安全问题。如果您认为在 Django 或项目使用的服务器基础设施中发现了安全问题,我们的安全响应团队始终可以通过电子邮件联系:security@djangoproject.com. 我们的完整安全策略可以在 djangoproject.com/security 查看。
返回顶部