O Time de Infraestrutura do projeto Apache relatou um ataque direto e direcionado contra o servidor que hospeda seu software de rastreamento de bugs/problemas. "Se você for um usuário do JIRA, Bugzilla ou Confluence, uma cópia em hash de sua senha foi comprometida. JIRA e Confluence ambos usam um hash SHA-512, mas sem um 'salt' aleatório. Acreditamos que o risco de haverem senhas simples baseadas em ataques de dicionário é um tanto alta e a maioria dos usuários deveria mudar suas senhas.

O Bugzilla usa SHA-256, incluíndo um 'salt' aleatório. O risco para a maioria dos usuários é de baixo a moderado, já que senhas baseadas em dicionário não são eficazes, mas ainda assim é recomendável alterá-los. Adicionalmente, se você logou na instância Apache JIRA entre 6 de abril e 9 de abril, você deveria considerar sua senha como comprometida, já que os atacantes alteraram o formulário de login para logar as senhas."

Fonte: http://lwn.net/Articles/383260/