Heute hat Atlassian einen Hinweis zu einigen Sicherheitslücken in FishEye/Crucible veröffentlicht, die mit den neuen Versionen behoben wurden. Es handelt sich dabei um
- Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem potentiellen Angreifer in die Seite eigenes JavaScript einzufügen. Alle Versionen vor FishEye 2.5.5 sind betroffen. Es wird empfohlen, FishEye mindestens auf die Version 2.5.5 über die das Dowload Center für FishEye zu aktualisieren.Solange dies nicht möglich ist, sollte das öffentliche Registrieren von neuen Nutzern deaktiviert werden. Für noch stärkere Kontrolle kann zusätzlich der Zugriff auf bekannte Gruppen beschränkt werden.
- Fehler in der Rechteüberprüfung, wodurch es für Nutzer möglich ist, Metadaten zu Changesets und Reviews von Repositories und Projekten einzusehen, für die sie eigentlich nicht berechtigt sind. Alle Versionen vor FishEye/Crucible 2.5.7 sind betroffen. Es wird empfohlen, FishEye/Crucible mindestens auf die Version 2.5.7 über die das Dowload Center für FishEye bzw. Crucible zu aktualisieren. Solange dies nicht möglich ist, sollte der anonyme Zugriff deaktiviert werden.
Kunden, die das Enterprise Hosting nutzen, sollten eine Upgrade-Anfrage über den Atlassian Support stellen. JIRA Studio und Atlassian OnDemand sind für diese Probleme nicht anfällig.
Diese Sicherheitslücken werden von Atlassian als “High” eingestuft, was entsprechend der von Atlassian definierten Abstufung ein mittleres Risiko bedeutet. Konkret bedeutet dies, sie ist nur schwer auszunutzen und führt dann meist nicht zu Rechteausweitung oder signifikantem Datenverlust.
Weitere Details zu den Sicherheitslücken können im Artikel von Atlassian gefunden werden.