El pasado dÃa 13 de abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publicaron los detalles acerca de un ataque dirigido sobre los servidores de la fundación Apache.
En esta ocasión emplearon una vulnerabilidad desconocida en JIRA (un software de gestión de errores e incidencias en proyectos) que permitÃa efectuar ataques de cross-site scripting. Los atacantes, a través de un servidor virtual comprometido (alojado en SliceHost), abrieron una incidencia en JIRA en la cual incluyeron una URL corta redireccionada por el servicio TinyURL que desencadenaba el cross-site scripting; consiguieron comprometer varias sesiones de usuario, incluyendo algunas con derechos de administrador.
A la vez, emplearon un ataque por fuerza bruta sobre la página de login de JIRA (“login.jsp”) en la que se llegaron a contabilizar, según Apache, cientos de miles de combinaciones de passwords.
![[Valid RSS]](http://validator.w3.org/feed/images/valid-rss.png "Validate my RSS feed")