Tino Winkler

OpenSSL-Bug und Atlassian-Produkte

Zu Beginn die­ser Woche wurde ein sicher­heits­kri­ti­scher Bug in der OpenSSL Implementierung bekannt. Heise.de beschreibt es als den “GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL“. Betroffen sind also ins­be­son­dere Server, die im Internet betrie­ben wer­den und eine SSL-Verschlüsselung nut­zen, spe­zi­ell mit der Version 1.0.1 von OpenSSL. Dieser Sicherheitshinweis betrifft damit auch Betreiber von Atlassian-Produkt-Installationen. Die Produkte selbst sind nach…

Stash 2.4 veröffentlicht

Gerade mal etwas über einen Monat ist die Veröffentlichung von Stash 2.3 her und schon gibt es mit Stash  2.4 ein neues Release.Es folgt ein kur­zer Abriss der wich­tigs­ten Features. Mit der Möglichkeit Forks zu erstel­len, wird eine von Plattformen wie Github oder Bitbucket bekannte Funktionalität in Stash inte­griert: Jeder Nutzer kann eine Kopie eines bestehen­den Repositories erstel­len um z.B. neue…

Stash 2.2 releast

Nachdem mit dem Stash Release 2.1 Anfang Februar die Anbindung an JIRA und CI ver­bes­sert wur­den, legt Atlassian nun mit Release 2.2 und neuen Features nach. Die inter­es­san­tes­ten neue Features sind sicher die Erweiterungen rund um die Git Hooks. Anstelle von Skripten, die auf dem Server abge­legt wer­den müs­sen, kön­nen Hooks nun als Stash Erweiterungen (Add-Ons/Plugins) instal­liert und auch über…

Kritische Sicherheitslücke in JIRA

Gestern hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke ver­öf­fent­licht. Atlassian stuft die Sicherheitslücke als "Critical" ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer, der einen gül­ti­gen JIRA Account hat, belie­bige Dateien auf dem JIRA Server über­schrei­ben kann für die der Betriebssystemnutzer, unter dem JIRA läuft, Schreibberechtigung hat.…

Neues Crowd Release

Mit Crowd 2.6 wurde heute ein neues Major Release des Identity Management Tools von Atlassian ver­öf­fent­licht. Es folgt eine Zusammenfassung der wich­tigs­ten Features. Mit die­sem Release wurde die Synchronisation mit ange­bun­de­nen Nutzerverzeichnissen beschleu­nigt. Besonders Installationen bei denen große Verzeichnisse ange­bun­den sind, sol­len davon pro­fi­tie­ren. In den Releasenotes sind dazu Beispiele für OpenLDAP und Microsoft Active Directory zu fin­den. Eine wei­tere…

Stash 2.1 veröffentlicht

Gestern hat Atlassian Stash 2.1 ver­öf­fent­licht. Es folgt eine kurze Übersicht der wich­tigs­ten Features. Mit die­sem Release wurde die Integration mit JIRA (eben­falls Atlassian) wei­ter aus­ge­baut. So ist es ab sofort ein­fa­cher alle zu einem Pull Request gehö­ren­den JIRA Issues zu ermit­teln. Diese wer­den direkt im Kontext des Pull Requests auf­ge­lis­tet. Mittels der neuen Build Status API kön­nen zu jedem…

Crucible in der Praxis

Im Zuge der Vorstellung der Entwicklungstools von Atlassian hat­ten wir uns bereits mit Crucible beschäf­tigt. Im Artikel mei­nes Kollegen David wur­den dabei vor allem die Features von Crucible beleuch­tet. Hier soll es nun darum gehen, wel­che Erfahrung wir bei unse­rer täg­li­chen Arbeit mit dem Code-Review Tool von Atlassian gemacht haben.

Atlassian Stash – Erste Schritte

Vor eini­gen Wochen kam in der Atlassian-Abteilung bei Communardo, aus nahe lie­gen­den Gründen ;), die Idee auf, Atlassian Stash aus­zu­pro­bie­ren. Erste Eindrücke zum Tool hat mein Kollege Niels schon vor eini­ger Zeit gepos­tet. Dieser Beitrag bezog sich vor allem auf das Tool und seine Features und lässt damit einen wesent­li­chen Aspekt aus: Man fängt halt nicht ein­fach mal an Stash…

Sicherheitslücke in Atlassian GreenHopper

Zusätzlich zum Hinweis über eine Sicherheitslücke in FishEye und Crucible hat Atlassian heute einen Hinweis zu einer Sicherheitslücke in GreenHopper ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer GreenHopper-Seite ein­bet­ten.…

Kritische Sicherheitslücke in Confluence

Am ver­gan­ge­nen Donnerstag hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Sie wird durch die Art und Weise, auf die XML-Parser eines Drittanbieters ver­wen­det wer­den, ver­ur­sacht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer auf Grund die­ser Sicherheitslücke, auch ohne am System…

Atlassian Summit aus der Sicht eines Techies

Ich hatte das Glück einer von zwei Vertretern Communardos beim dies­jäh­ri­gen Atlassian Summit zu sein, der welt­wei­ten Konferenz von Atlassian für Partner und Kunden. Hier alles wie­der­zu­ge­ben was ich dort erlebt habe würde den Rahmen die­ses Posts spren­gen. Daher werde ich mich im Folgenden auf die span­nends­ten Neuerungen beschrän­ken.

Sicherheitslücken in Confluence

Heute hat Atlassian einen Hinweis zu meh­re­ren Sicherheitslücken ver­öf­fent­licht. Es befin­den sich dar­un­ter auch zwei als hoch (High) ein­ge­stufte Anfälligkeiten gegen Cross-Site-Scripting (XSS). Dies bedeu­tet ent­spre­chend der von Atlassian defi­nier­ten Abstufung, dass sie schwer aus­zu­nut­zen sind und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit öffent­li­chem Zugang (über das Internet) und mit akti­vier­ter öffent­li­cher…

Sicherheitslücke in Confluence

Heute hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Es han­delt sich dabei um eine Anfälligkeit meh­re­rer Macros für Cross-Site-Scripting (XSS). Sie wird von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung bedeu­tet, dass sie nur schwer aus­zu­nut­zen ist und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit öffent­li­chem Zugang (über…

Sicherheitslücke in Confluence

Gestern (18. Januar 2010), hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Es han­delt sich dabei um eine Anfälligkeit meh­re­rer Macros für Cross-Site-Scripting (XSS). Sie wird von Atlassian als "High" ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung bedeu­tet, dass sie nur schwer aus­zu­nut­zen ist und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit…

Chuck Norris Component

Bei der Pluginentwicklung für Confluence benö­tigt man immer wie­der Zugriff auf  Komponenten, die ver­schie­dene Dienste bereit­st­sel­len. Dies kön­nen sowohl Komponenten aus dem Confluence-Kern, aber auch aus dem Plugin selbst, oder, seit dem Plugin-Framework V2, auch aus ande­ren Plugins sein. Zu die­sen Diensten gehö­ren z.B. die Bandana-Persistenz oder das Suchsystem. Confluence ver­wen­det den Spring-IoC-Container zur Verwaltung der Objekten zu die­sen Diensten…

Transactions mit dem Atlassian PluginFramework

Auch bei der Pluginentwicklung für Confluence kommt irgend­wann der Zeitpunkt, an dem man sich mit kom­ple­xe­ren Abläufen bei der Persistierung von Daten beschäf­ti­gen muss. Um die Integrität die­ser Daten sicher­stel­len zu kön­nen, ist man dann auf den Einsatz von Transactions ange­wie­sen. Da Confluence das Spring Framework ver­wen­det, bie­tet sich hier­für die Nutzung des TransactionTemplate an. Dieses ermög­licht es, wie in…

Workaround für Bug im Trigger Modultyp

Seit Confluence 2.10 gibt es einen ziem­lich unan­ge­neh­men Bug im Trigger-Plugin-Modultyp: Manchmal kommt es vor, dass ein Plugin bei der Installation nicht erfolg­reich akti­viert wer­den kann. In die­sem Fall wer­den alle Module deak­ti­viert, also auch der Trigger. Dabei wird aber auch ver­sucht den zuge­hö­ri­gen Job zu deak­ti­vie­ren. Ist der zu dem Zeitpunkt noch nicht voll­stän­dig gela­den, kommt es zu einer…

CCD09: Confluence Wiki mit SAP Portal und SAP ERP

Thorsten Heid von der Firma HLP hat auf dem Confluence Community Day eine Lösung zur Integration zwi­schen Confluence und SAP Systemen vor­ge­stellt. Das "SAP Business Package for Confluence Wiki" erlaubt eine Integration des Wikis in das SAP NetWeaver Portal, indem für bestimmte Bereiche Confluence als Service zur Verfügung gestellt wird. Die Lösung  berück­sich­tigt unter ande­rem SSO zwi­schen den Anwendungen, das…

1 2