Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücke in Atlassian FishEye und Crucible

Heute hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Sie ermög­licht Angreifern unter bestimm­ten Umständen sowohl die anonyme Registrierung an dem betrof­fe­nen System, als auch den anony­men Zugriff auf das System. Atlassian stuft die Sicherheitslücke als “Medium” ein, was dem zweit­nied­rigs­ten mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. In die­sem Fall ist es dem Angreifer mög­lich, alle in FishEye und Crucible ver­füg­ba­ren Informationen einzusehen.

Das Problem ist für die in den jeweils aktu­el­len Versionen der Anwendungen beho­ben. Da FishEye und Crucible im Wesentlichen die glei­chen Anwendungen sind (und ein­zelne Funktionen in Abhängigkeit von der genutz­ten Lizenz akti­viert oder deak­ti­viert sind), sind beide Anwendungen betrof­fen. In Abhängigkeit von der ein­ge­setz­ten Softwareversion wird ein Upgrade min­des­tens auf die fol­gen­den Versionen empfohlen:

Sollte ein Upgrade nicht zeit­nah mög­lich sein, emp­fiehlt es sich die Anwendung vom Internet zu tren­nen und nur in geschütz­ten Unternehmensnetzwerken ver­füg­bar zu halten.

Weitere Details zur Sicherheitslücke kön­nen in den bei­den Security Advisories von Atlassian gefun­den werden:

https://confluence.atlassian.com/display/FISHEYE/FishEye+and+Crucible+Security+Advisory+2012–08-21

https://confluence.atlassian.com/display/CRUCIBLE/FishEye+and+Crucible+Security+Advisory+2012–08-21

Related Posts

Pin It on Pinterest