Sicherheit

Kritische Sicherheitslücken in Atlassian-Produkten

Atlassian hat meh­rere Hinweise zu kri­ti­schen Sicherheitslücken für die Produkte Confluence, Fisheye/Crucible, Bamboo und Crowd ver­öf­fent­licht. Weitere Produkte, wie Stash oder JIRA, sind nicht betrof­fen. Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung entspricht.

Sicherheitsanfälligkeiten in SharePoint kön­nen Erhöhung von Berechtigungen ermög­li­chen (Sicherheitsupdate MS12-050)

Mit MS12-050 wird seit heute über Windows Update ein kri­ti­sches Sicherheitsupdate für SharePoint 2010 ver­teilt. Dieses Sicherheitsupdate behebt eine öffent­lich gemel­dete Sicherheitsanfälligkeit und fünf ver­trau­lich gemel­dete Sicherheitsanfälligkeiten in Microsoft SharePoint und Windows SharePoint Services. Die schwer­wie­gends­ten die­ser Sicherheitsanfälligkeiten kön­nen die Erhöhung von Berechtigungen ermög­li­chen, wenn ein Benutzer auf eine spe­zi­ell gestal­tete URL klickt, die den Benutzer zu der betrof­fe­nen SharePoint-Website…

Sharepoint für anony­men Zugriff konfigurieren

Standardmäßig ist anony­mer Zugriff in Sharepoint nicht akti­viert. Um Sharepoint für den anony­men Zugriff zu kon­fi­gu­rie­ren, sind meh­rere Schritte an ver­schie­de­nen Stellen (und in die­ser Reihenfolge!) erfor­der­lich: Zuerst muss in der Sharepoint Zentraladministration der anonyme Zugriff akti­viert wer­den: Zentraladministration öff­nen Klickpfad: Application Management -> Application Security -> Authentication pro­vi­ders Rechts oben im Dropdown die gewünschte Web Application aus­wäh­len Zone: Default…

jCaptcha

Um Webdienste vor Missbrauch durch Webbots zu schutz wer­den CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ein­ge­setzt. Eine java­ba­sierte Lösung, die ein­fach zu inte­grie­ren und imple­men­tie­ren ist, bie­tet das Framework jCaptcha an (http://jcaptcha.sourceforge.net). Es steht unter LGPL und bie­tet eine Reihe vor­de­fi­nier­ter Captchaimages an. Im fol­gen­den möchte ich bei­spiel­haft erläu­tern, wel­che Schritte nötig sind, um eine Captchalösung mit­hilfe des jCapchta-Frameworks in eine bestehende J2EE Anwendung einzubinden.

Virenüberprüfung beim Upload von Dateien mit ModSecurity und Apache

Um in einer Webanwendung sicher­zu­stel­len, dass die Nutzer kei­nen Viren oder andere Schädlinge durch Uploads ein­schleu­sen, gibt es ver­schie­den Möglichkeiten. Eine Möglichkeit ist es, in der Webanwendung selbst eine Virenüberprüfung anzu­stos­sen. Eine Alternative ist es, die Virenprüfung in einem vor­ge­schal­te­nem Apache vor­zu­neh­men. Diese Funktionalität kann mit dem Modul ModSecurity für den Apache erreicht wer­den. Dieses erkennt bei einem Request des…