Sicherheit

Kritische Sicherheitslücke in Atlassian Bamboo

Zusätzlich zum Hinweis über meh­rere Sicherheitslücken in JIRA hat Atlassian diese Woche einen Hinweis zu einer Sicherheitslücke in Bamboo ver­öf­fent­licht. Das Ausnutzen die­ser Lücke kann es Angreifern unter bestimm­ten Konstellationen erlau­ben Java Code in die Bamboo JVM ein­zu­schleu­sen und mit den Rechten des JVM-Nutzers auf dem Server aus­zu­füh­ren. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchs­ten Schweregrad in…

Sicherheitslücke in Atlassian GreenHopper

Zusätzlich zum Hinweis über eine Sicherheitslücke in FishEye und Crucible hat Atlassian heute einen Hinweis zu einer Sicherheitslücke in GreenHopper ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer GreenHopper-Seite ein­bet­ten.…

Sicherheitsanfälligkeiten in SharePoint können Erhöhung von Berechtigungen ermöglichen (Sicherheitsupdate MS12-050)

Mit MS12-050 wird seit heute über Windows Update ein kri­ti­sches Sicherheitsupdate für SharePoint 2010 ver­teilt. Dieses Sicherheitsupdate behebt eine öffent­lich gemel­dete Sicherheitsanfälligkeit und fünf ver­trau­lich gemel­dete Sicherheitsanfälligkeiten in Microsoft SharePoint und Windows SharePoint Services. Die schwer­wie­gends­ten die­ser Sicherheitsanfälligkeiten kön­nen die Erhöhung von Berechtigungen ermög­li­chen, wenn ein Benutzer auf eine spe­zi­ell gestal­tete URL klickt, die den Benutzer zu der betrof­fe­nen SharePoint-Website…

ASP.NET security update against #hashDoS attacks

In a pre­sen­ta­tion ("Efficient Denial of Service Attacks on Web Application Platforms", Dec 28th 2011, PDF) at 28th Chaos Communication Congress in Berlin (#28c3) there have been publis­hed details on how to per­form so cal­led "hash col­li­sion attacks" on web­ser­vers. This does not only affect Microsoft tech­no­logy (ASP.NET), but also Java, Python, Ruby, PHP, v8/node.js, … Microsoft has already reac­ted…

ASP.NET Sicherheitsupdate gegen #hashDoS Angriffe

Im Rahmen eines Vortrags ("Efficient Denial of Service Attacks on Web Application Platforms", 28.12.2011, PDF) auf dem 28. Chaos Communication Congress in Berlin (#28c3) wurde eine Möglichkeit vor­ge­stellt, Webserver mit­tels einer soge­nann­ten "hash col­li­sion attack" zu über­las­ten, so dass diese prak­tisch zum Stillstand kom­men. Betroffen ist dabei nicht nur Microsoft-Technologie (ASP.NET), son­dern auch Java, Python, Ruby, PHP, v8/node.js, … Microsoft hat…

Sicherheitslücken in FishEye und Crucible

Heute hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in FishEye/Crucible ver­öf­fent­licht, die mit den neuen Versionen beho­ben wur­den. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Alle Versionen vor FishEye 2.5.5 sind betrof­fen. Es wird emp­foh­len, FishEye min­des­tens auf die Version 2.5.5 über die das Dowload Center für FishEye…

Sicherheitslücke in Bamboo

Heute  hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in Bamboo ver­öf­fent­licht. Sechs der Sicherheitslücken wer­den von Atlassian als “High”, eine als "Medium" ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret bedeu­tet dies, sie sind nur schwer aus­zu­nut­zen und führt dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust.

Sicherheitslücken in JIRA

Atlassian hat ges­tern einen Hinweis zu meh­re­ren Sicherheitslücken für JIRAveröffentlicht. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Die JIRA Versionen 4.1.x – 4.3.x sind betrof­fen. Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. JIRA Studio ist für die­ses Problem nicht anfäl­lig.

Sicherheitslücken in Confluence

Heute hat Atlassian einen Hinweis zu meh­re­ren Sicherheitslücken ver­öf­fent­licht. Es befin­den sich dar­un­ter auch zwei als hoch (High) ein­ge­stufte Anfälligkeiten gegen Cross-Site-Scripting (XSS). Dies bedeu­tet ent­spre­chend der von Atlassian defi­nier­ten Abstufung, dass sie schwer aus­zu­nut­zen sind und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit öffent­li­chem Zugang (über das Internet) und mit akti­vier­ter öffent­li­cher…

Sicherheitslücken in FishEye und Crucible

Gestern hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in FishEye/Crucible ver­öf­fent­licht, die mit den neuen Versionen beho­ben wur­den. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Mehrere Versionen vor FishEye/Crucible 2.5.4 sind betrof­fen. Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. JIRA Studio…

Sicherheitslücke in Bamboo

Heute  hat Atlassian einen Hinweis zu einer Sicherheitslücke für Bamboo ver­öf­fent­licht. Es han­delt sich dabei um eine Anfälligkeit der Bamboo Nutzerverwaltung für Cross-Site-Scripting (XSS). Alle Versionen vor Bamboo 2.7.3. sind betrof­fen. JIRA Studio ist für die­ses Problem nicht anfäl­lig. Die Sicherheitslücke wird von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret bedeu­tet dies, sie ist nur…

Sicherheitslücke in Confluence

Heute hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Es han­delt sich dabei um eine Anfälligkeit meh­re­rer Macros für Cross-Site-Scripting (XSS). Sie wird von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung bedeu­tet, dass sie nur schwer aus­zu­nut­zen ist und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit öffent­li­chem Zugang (über…

Sicherheitslücke in Jira

Am 21. Februar 2011 hat Atlassian einen Hinweis zu einer Sicherheitslücke für JIRA ver­öf­fent­licht. Die Schwachstelle liegt in der para­me­ter­ba­sier­ten Weiterleitung. Diese wird bei eini­gen Aktionen in JIRA benutzt, wenn z.B. der Nutzer nach dem Ausführen einer Aktion auf eine andere Seite gelei­tet wird. Die Sicherheitslücke erlaubt es Angreifern eine JIRA-URL so zu ver­än­dern, dass der Nutzer beim Klick dar­auf auf…

Sicherheitslücke in Confluence

Gestern (18. Januar 2010), hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Es han­delt sich dabei um eine Anfälligkeit meh­re­rer Macros für Cross-Site-Scripting (XSS). Sie wird von Atlassian als "High" ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung bedeu­tet, dass sie nur schwer aus­zu­nut­zen ist und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit…

Sharepoint für anonymen Zugriff konfigurieren

Standardmäßig ist anony­mer Zugriff in Sharepoint nicht akti­viert. Um Sharepoint für den anony­men Zugriff zu kon­fi­gu­rie­ren, sind meh­rere Schritte an ver­schie­de­nen Stellen (und in die­ser Reihenfolge!) erfor­der­lich: Zuerst muss in der Sharepoint Zentraladministration der anonyme Zugriff akti­viert wer­den: Zentraladministration öff­nen Klickpfad: Application Management -> Application Security -> Authentication pro­vi­ders Rechts oben im Dropdown die gewünschte Web Application aus­wäh­len Zone: Default…

jCaptcha

Um Webdienste vor Missbrauch durch Webbots zu schutz wer­den CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ein­ge­setzt. Eine java­ba­sierte Lösung, die ein­fach zu inte­grie­ren und imple­men­tie­ren ist, bie­tet das Framework jCaptcha an (http://jcaptcha.sourceforge.net). Es steht unter LGPL und bie­tet eine Reihe vor­de­fi­nier­ter Captchaimages an. Im fol­gen­den möchte ich bei­spiel­haft erläu­tern, wel­che Schritte nötig sind, um eine Captchalösung mit­hilfe des jCapchta-Frameworks in eine bestehende J2EE Anwendung ein­zu­bin­den.

Virenüberprüfung beim Upload von Dateien mit ModSecurity und Apache

Um in einer Webanwendung sicher­zu­stel­len, dass die Nutzer kei­nen Viren oder andere Schädlinge durch Uploads ein­schleu­sen, gibt es ver­schie­den Möglichkeiten. Eine Möglichkeit ist es, in der Webanwendung selbst eine Virenüberprüfung anzu­stos­sen. Eine Alternative ist es, die Virenprüfung in einem vor­ge­schal­te­nem Apache vor­zu­neh­men. Diese Funktionalität kann mit dem Modul ModSecurity für den Apache erreicht wer­den. Dieses erkennt bei einem Request des…

1 2