security advisory

Kritische Sicherheitslücken in Atlassian-Produkten

Heute hat Atlassian meh­rere Hinweise zu kri­ti­schen Sicherheitslücken für die Produkte Confluence, JIRA, Stash, Crucible, Fisheye und Bamboo ver­öf­fent­licht. Crowd ist nicht betrof­fen. Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht.

Sicherheitslücke in Atlassian Bamboo, Crowd und FishEye/Crucible

Atlassian hat heute einen Hinweis zu einer Sicherheitslücke in Bamboo, Crowd und FishEye/Crucible ver­öf­fent­licht. Sie ermög­licht Angreifern unter bestimm­ten Bedingungen belie­bi­gen JAVA-Code anonym aus­zu­füh­ren. Atlassian stuft die Sicherheitslücke als "Kritisch" ein, was dem höchst mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Ursache ist ein Problem in einem zugrun­de­lie­gen­den Framework, dass in den betrof­fe­nen Produkten ein­ge­setzt wird.

Kritische Sicherheitslücke in JIRA

Gestern hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke ver­öf­fent­licht. Atlassian stuft die Sicherheitslücke als "Critical" ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer, der einen gül­ti­gen JIRA Account hat, belie­bige Dateien auf dem JIRA Server über­schrei­ben kann für die der Betriebssystemnutzer, unter dem JIRA läuft, Schreibberechtigung hat.…

Sicherheitslücke in Atlassian Confluence

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Confluence ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer Confluence Website ein­bet­ten. Betroffen sind alle Confluence Versionen bis ein­schließ­lich Confluence…

Sicherheitslücke in Atlassian Stash

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Stash ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer Stash Website ein­bet­ten. Atlassian emp­fiehlt ein Upgrade auf die aktu­ellste Stash…

Kritische Sicherheitslücke in Atlassian Bamboo

Zusätzlich zum Hinweis über meh­rere Sicherheitslücken in JIRA hat Atlassian diese Woche einen Hinweis zu einer Sicherheitslücke in Bamboo ver­öf­fent­licht. Das Ausnutzen die­ser Lücke kann es Angreifern unter bestimm­ten Konstellationen erlau­ben Java Code in die Bamboo JVM ein­zu­schleu­sen und mit den Rechten des JVM-Nutzers auf dem Server aus­zu­füh­ren. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchs­ten Schweregrad in…

Sicherheitslücke in Atlassian GreenHopper

Zusätzlich zum Hinweis über eine Sicherheitslücke in FishEye und Crucible hat Atlassian heute einen Hinweis zu einer Sicherheitslücke in GreenHopper ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer GreenHopper-Seite ein­bet­ten.…

Sicherheitslücke in Atlassian FishEye und Crucible

Heute hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Sie ermög­licht Angreifern unter bestimm­ten Umständen sowohl die anonyme Registrierung an dem betrof­fe­nen System, als auch den anony­men Zugriff auf das System. Atlassian stuft die Sicherheitslücke als “Medium” ein, was dem zweit­nied­rigs­ten mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. In die­sem Fall ist es dem Angreifer mög­lich, alle in…

Kritische Sicherheitslücke in Confluence

Am ver­gan­ge­nen Donnerstag hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Sie wird durch die Art und Weise, auf die XML-Parser eines Drittanbieters ver­wen­det wer­den, ver­ur­sacht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer auf Grund die­ser Sicherheitslücke, auch ohne am System…

1 2