Techblog

Herzlich Willkommen im Communardo Techblog, dem Entwickler-Weblog von Communardo. An dieser Stelle werden Ideen, Problemlösungen, Tipps und Problemstellungen rund um die Entwicklung webbasierter Software vorgestellt.

techblog-teaser

Kritische Sicherheitslücken in Atlassian-Produkten

, von

Heute hat Atlassian mehrere Hinweise zu kritischen Sicherheitslücken für die Produkte Confluence, JIRA, Stash, Crucible, Fisheye und Bamboo veröffentlicht. Crowd ist nicht betroffen.

Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht. Artikel vollständig lesen

Kritische Sicherheitslücke in Confluence

, von

Heute hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke veröffentlicht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht.

Artikel vollständig lesen

Sicherheitslücke in Atlassian Crowd

, von

logoCrowdPNG

Atlassian hat heute Morgen eine Warnung vor einer Sicherheitslücke in Atlassian Crowd herausgegeben. Neben den Details des Problems werden auch Maßnahmen zur Abhilfe vorgeschlagen.

Artikel vollständig lesen

Kritische Sicherheitslücke in JIRA

, von

Gestern hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke veröffentlicht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht. Im konkreten Fall bedeutet dies, dass ein Angreifer, der einen gültigen JIRA Account hat, beliebige Dateien auf dem JIRA Server überschreiben kann für die der Betriebssystemnutzer, unter dem JIRA läuft, Schreibberechtigung hat. Damit könnte der Angreifer z.B. beliebigen Java Code im Kontext des JIRA Servers ausführen. Betroffen sind alle JIRA Versionen bis einschließlich 5.1.4.

Da der Angriff über die SOAP API erfolgen muss, kann diese zur Risikominderung deaktiviert werden. Allerdings kann dies, vor allem bei älteren JIRA Versionen, zu Einschränkungen bei einigen Funktionalitäten führen. Weitere Details dazu können im Artikel unter “Risk Mitigation” gefunden werden.

Will man die SOAP-API weiterhin verwenden, bleibt also nur das Einspielen eines Fixes. Atlassian empfiehlt dazu ein Upgrade auf die aktuellste JIRA Version (5.2.x). Für für zwei ältere Versionen stehen auch Patches bereit.

Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.

Sicherheitslücke in Atlassian Confluence

, von

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Confluence veröffentlicht. Dabei handelt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweithöchsten Schweregrad in der von Atlassian definierten Abstufung entspricht. Im konkreten Fall kann ein Angreifer eigenes JavaScript auf einer Confluence Website einbetten.

Betroffen sind alle Confluence Versionen bis einschließlich Confluence 4.1.7. Atlassian empfiehlt ein Upgrade auf die aktuellste Confluence Version, mindestens jedoch Version 4.1.9. Einen Patch gibt es nicht.

Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.

Diese Webseite basiert auf Wordpress. © 2014 Communardo Software GmbH / Kleiststraße 10 a / D-01129 Dresden / Fon +49 (0) 351/8 33 82-0 / info@communardo.de