Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücken in FishEye und Crucible

Gestern hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in FishEye/Crucible ver­öf­fent­licht, die mit den neuen Versionen beho­ben wur­den. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Mehrere Versionen vor FishEye/Crucible 2.5.4 sind betrof­fen. Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. JIRA Studio ist für die­ses Problem nicht anfäl­lig.

Die Sicherheitslücken wer­den von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret bedeu­tet dies, sie ist nur schwer aus­zu­nut­zen und führt dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust.

Es wird emp­foh­len, FishEye/Crucible min­des­tens auf die Version 2.5.4 über die das Dowload Center für FishEye bzw. Crucible zu aktua­li­sie­ren. Solange dies nicht mög­lich ist, sollte das öffent­li­che Registrieren von neuen Nutzern deak­ti­viert wer­den.  Für noch stär­kere Kontrolle kann zusätz­lich der  Zugriff auf bekannte Gruppen beschränkt wer­den. Weitere Details zur Sicherheitslücke kön­nen im Artikel von Atlassian gefun­den wer­den.

Related Posts

Pin It on Pinterest