news/secadv_hack.txt

   1 Website defacement: final details.
   2 ==================================
   3
   4 Last updated: 3rd January 2014
   5
   6 On Sun 29th December 2013 at around 1am GMT the home page of
   7 www.openssl.org was defaced.  We restored the home page just after 3am
   8 GMT and started forensics, investigation, and recovery.
   9
  10 The OpenSSL server is a virtual server which shares a hypervisor with
  11 other customers of the same ISP.  Our investigation found that the
  12 attack was made through insecure passwords at the hosting provider,
  13 leading to control of the hypervisor management console, which then
  14 was used to manipulate our virtual server.
  15
  16 The source repositories were audited and they were not affected.
  17
  18 Other than the modification to the index.html page no changes to the
  19 website were made.  No vulnerability in the OS or OpenSSL applications
  20 was used to perform this defacement.
  21
  22 Steps have been taken to protect against this means of attack in
  23 future.