Security

OpenSSL-Bug und Atlassian-Produkte

Zu Beginn die­ser Woche wurde ein sicher­heits­kri­ti­scher Bug in der OpenSSL Implementierung bekannt. Heise.de beschreibt es als den “GAU für Verschlüsselung im Web: Horror-Bug in OpenSSL“. Betroffen sind also ins­be­son­dere Server, die im Internet betrie­ben wer­den und eine SSL-Verschlüsselung nut­zen, spe­zi­ell mit der Version 1.0.1 von OpenSSL. Dieser Sicherheitshinweis betrifft damit auch Betreiber von Atlassian-Produkt-Installationen. Die Produkte selbst sind nach…

Kritische Sicherheitslücken in Atlassian-Produkten

Heute hat Atlassian meh­rere Hinweise zu kri­ti­schen Sicherheitslücken für die Produkte Confluence, JIRA, Stash, Crucible, Fisheye und Bamboo ver­öf­fent­licht. Crowd ist nicht betrof­fen. Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht.

Kritische Sicherheitslücke in JIRA

Gestern hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke ver­öf­fent­licht. Atlassian stuft die Sicherheitslücke als "Critical" ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer, der einen gül­ti­gen JIRA Account hat, belie­bige Dateien auf dem JIRA Server über­schrei­ben kann für die der Betriebssystemnutzer, unter dem JIRA läuft, Schreibberechtigung hat.…

Sicherheitslücke in Atlassian Confluence

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Confluence ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer Confluence Website ein­bet­ten. Betroffen sind alle Confluence Versionen bis ein­schließ­lich Confluence…

Sicherheitslücke in Atlassian Stash

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Stash ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer Stash Website ein­bet­ten. Atlassian emp­fiehlt ein Upgrade auf die aktu­ellste Stash…

Kritische Sicherheitslücke in Atlassian Bamboo

Zusätzlich zum Hinweis über meh­rere Sicherheitslücken in JIRA hat Atlassian diese Woche einen Hinweis zu einer Sicherheitslücke in Bamboo ver­öf­fent­licht. Das Ausnutzen die­ser Lücke kann es Angreifern unter bestimm­ten Konstellationen erlau­ben Java Code in die Bamboo JVM ein­zu­schleu­sen und mit den Rechten des JVM-Nutzers auf dem Server aus­zu­füh­ren. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchs­ten Schweregrad in…

Sicherheitsanfälligkeiten in SharePoint können Erhöhung von Berechtigungen ermöglichen (Sicherheitsupdate MS12-050)

Mit MS12-050 wird seit heute über Windows Update ein kri­ti­sches Sicherheitsupdate für SharePoint 2010 ver­teilt. Dieses Sicherheitsupdate behebt eine öffent­lich gemel­dete Sicherheitsanfälligkeit und fünf ver­trau­lich gemel­dete Sicherheitsanfälligkeiten in Microsoft SharePoint und Windows SharePoint Services. Die schwer­wie­gends­ten die­ser Sicherheitsanfälligkeiten kön­nen die Erhöhung von Berechtigungen ermög­li­chen, wenn ein Benutzer auf eine spe­zi­ell gestal­tete URL klickt, die den Benutzer zu der betrof­fe­nen SharePoint-Website…

Kritische Sicherheitslücke in Confluence

Am ver­gan­ge­nen Donnerstag hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Sie wird durch die Art und Weise, auf die XML-Parser eines Drittanbieters ver­wen­det wer­den, ver­ur­sacht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer auf Grund die­ser Sicherheitslücke, auch ohne am System…

ASP.NET security update against #hashDoS attacks

In a pre­sen­ta­tion ("Efficient Denial of Service Attacks on Web Application Platforms", Dec 28th 2011, PDF) at 28th Chaos Communication Congress in Berlin (#28c3) there have been publis­hed details on how to per­form so cal­led "hash col­li­sion attacks" on web­ser­vers. This does not only affect Microsoft tech­no­logy (ASP.NET), but also Java, Python, Ruby, PHP, v8/node.js, … Microsoft has already reac­ted…

ASP.NET Sicherheitsupdate gegen #hashDoS Angriffe

Im Rahmen eines Vortrags ("Efficient Denial of Service Attacks on Web Application Platforms", 28.12.2011, PDF) auf dem 28. Chaos Communication Congress in Berlin (#28c3) wurde eine Möglichkeit vor­ge­stellt, Webserver mit­tels einer soge­nann­ten "hash col­li­sion attack" zu über­las­ten, so dass diese prak­tisch zum Stillstand kom­men. Betroffen ist dabei nicht nur Microsoft-Technologie (ASP.NET), son­dern auch Java, Python, Ruby, PHP, v8/node.js, … Microsoft hat…

Sicherheitslücken in FishEye und Crucible

Heute hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in FishEye/Crucible ver­öf­fent­licht, die mit den neuen Versionen beho­ben wur­den. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Alle Versionen vor FishEye 2.5.5 sind betrof­fen. Es wird emp­foh­len, FishEye min­des­tens auf die Version 2.5.5 über die das Dowload Center für FishEye…

Sicherheitslücke in Bamboo

Heute  hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in Bamboo ver­öf­fent­licht. Sechs der Sicherheitslücken wer­den von Atlassian als “High”, eine als "Medium" ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret bedeu­tet dies, sie sind nur schwer aus­zu­nut­zen und führt dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust.

Sicherheitslücken in JIRA

Atlassian hat ges­tern einen Hinweis zu meh­re­ren Sicherheitslücken für JIRAveröffentlicht. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Die JIRA Versionen 4.1.x – 4.3.x sind betrof­fen. Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. JIRA Studio ist für die­ses Problem nicht anfäl­lig.

Sicherheitslücken in Confluence

Heute hat Atlassian einen Hinweis zu meh­re­ren Sicherheitslücken ver­öf­fent­licht. Es befin­den sich dar­un­ter auch zwei als hoch (High) ein­ge­stufte Anfälligkeiten gegen Cross-Site-Scripting (XSS). Dies bedeu­tet ent­spre­chend der von Atlassian defi­nier­ten Abstufung, dass sie schwer aus­zu­nut­zen sind und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit öffent­li­chem Zugang (über das Internet) und mit akti­vier­ter öffent­li­cher…

Sicherheitslücken in FishEye und Crucible

Gestern hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in FishEye/Crucible ver­öf­fent­licht, die mit den neuen Versionen beho­ben wur­den. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Mehrere Versionen vor FishEye/Crucible 2.5.4 sind betrof­fen. Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. JIRA Studio…

Sicherheitslücke in Bamboo

Heute  hat Atlassian einen Hinweis zu einer Sicherheitslücke für Bamboo ver­öf­fent­licht. Es han­delt sich dabei um eine Anfälligkeit der Bamboo Nutzerverwaltung für Cross-Site-Scripting (XSS). Alle Versionen vor Bamboo 2.7.3. sind betrof­fen. JIRA Studio ist für die­ses Problem nicht anfäl­lig. Die Sicherheitslücke wird von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret bedeu­tet dies, sie ist nur…

Sicherheitslücke in Confluence

Heute hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Es han­delt sich dabei um eine Anfälligkeit meh­re­rer Macros für Cross-Site-Scripting (XSS). Sie wird von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung bedeu­tet, dass sie nur schwer aus­zu­nut­zen ist und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit öffent­li­chem Zugang (über…

Sicherheitslücke in Jira

Am 21. Februar 2011 hat Atlassian einen Hinweis zu einer Sicherheitslücke für JIRA ver­öf­fent­licht. Die Schwachstelle liegt in der para­me­ter­ba­sier­ten Weiterleitung. Diese wird bei eini­gen Aktionen in JIRA benutzt, wenn z.B. der Nutzer nach dem Ausführen einer Aktion auf eine andere Seite gelei­tet wird. Die Sicherheitslücke erlaubt es Angreifern eine JIRA-URL so zu ver­än­dern, dass der Nutzer beim Klick dar­auf auf…