Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücken in FishEye und Crucible

Heute hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in FishEye/Crucible ver­öf­fent­licht, die mit den neuen Versionen beho­ben wur­den. Es han­delt sich dabei um

  1. Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Alle Versionen vor FishEye 2.5.5 sind betrof­fen. Es wird emp­foh­len, FishEye min­des­tens auf die Version 2.5.5 über die das Dowload Center für FishEye zu aktualisieren.Solange dies nicht mög­lich ist, sollte das öffent­li­che Registrieren von neuen Nutzern deak­ti­viert wer­den. Für noch stär­kere Kontrolle kann zusätz­lich der  Zugriff auf bekannte Gruppen beschränkt wer­den.
  2. Fehler in der Rechteüberprüfung, wodurch es für Nutzer mög­lich ist, Metadaten zu Changesets und Reviews von Repositories und Projekten ein­zu­se­hen, für die sie eigent­lich nicht berech­tigt sind. Alle Versionen vor FishEye/Crucible 2.5.7 sind betrof­fen. Es wird emp­foh­len, FishEye/Crucible min­des­tens auf die Version 2.5.7 über die das Dowload Center für FishEye bzw. Crucible zu aktua­li­sie­ren. Solange dies nicht mög­lich ist, sollte der anonyme Zugriff deak­ti­viert wer­den.

Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. JIRA Studio und Atlassian OnDemand sind für diese Probleme nicht anfäl­lig.

Diese Sicherheitslücken wer­den von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret bedeu­tet dies, sie ist nur schwer aus­zu­nut­zen und führt dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust.

Weitere Details zu den Sicherheitslücken kön­nen im Artikel von Atlassian gefun­den wer­den.

Related Posts

Pin It on Pinterest