Sicherheitslücke

Kritische Sicherheitslücken OpenSSL

Am 05. Juni sind erneut meh­rere kri­ti­sche Sicherheitslücken im OpenSSL bekannt gewor­den. Davon betrof­fen ist u.a. auch die im ver­gan­ge­nen April als Fix für den Heartbleed-Bug ver­öf­fent­lichte OpenSSL-Version 1.0.1g. Wir emp­feh­len drin­gend, betrof­fene Systeme auf eine aktu­el­lere bzw. berei­nigte OpenSSL-Version zu aktua­li­sie­ren. Im Folgenden gehe ich nun auf das Problem und die Lösungen detail­lier­ter ein.

Kritische Sicherheitslücken in Atlassian-Produkten

Atlassian hat meh­rere Hinweise zu kri­ti­schen Sicherheitslücken für die Produkte Confluence, Fisheye/Crucible, Bamboo und Crowd ver­öf­fent­licht. Weitere Produkte, wie Stash oder JIRA, sind nicht betrof­fen. Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht.

Kritische Sicherheitslücken in Atlassian-Produkten

Heute hat Atlassian meh­rere Hinweise zu kri­ti­schen Sicherheitslücken für die Produkte Confluence, JIRA, Stash, Crucible, Fisheye und Bamboo ver­öf­fent­licht. Crowd ist nicht betrof­fen. Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht.

Sicherheitslücke in Atlassian Bamboo, Crowd und FishEye/Crucible

Atlassian hat heute einen Hinweis zu einer Sicherheitslücke in Bamboo, Crowd und FishEye/Crucible ver­öf­fent­licht. Sie ermög­licht Angreifern unter bestimm­ten Bedingungen belie­bi­gen JAVA-Code anonym aus­zu­füh­ren. Atlassian stuft die Sicherheitslücke als "Kritisch" ein, was dem höchst mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Ursache ist ein Problem in einem zugrun­de­lie­gen­den Framework, dass in den betrof­fe­nen Produkten ein­ge­setzt wird.

Kritische Sicherheitslücke in JIRA

Gestern hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke ver­öf­fent­licht. Atlassian stuft die Sicherheitslücke als "Critical" ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer, der einen gül­ti­gen JIRA Account hat, belie­bige Dateien auf dem JIRA Server über­schrei­ben kann für die der Betriebssystemnutzer, unter dem JIRA läuft, Schreibberechtigung hat.…

Sicherheitslücke in Atlassian Confluence

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Confluence ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer Confluence Website ein­bet­ten. Betroffen sind alle Confluence Versionen bis ein­schließ­lich Confluence…

Sicherheitslücke in Atlassian Stash

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Stash ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer Stash Website ein­bet­ten. Atlassian emp­fiehlt ein Upgrade auf die aktu­ellste Stash…

Kritische Sicherheitslücke in Atlassian Bamboo

Zusätzlich zum Hinweis über meh­rere Sicherheitslücken in JIRA hat Atlassian diese Woche einen Hinweis zu einer Sicherheitslücke in Bamboo ver­öf­fent­licht. Das Ausnutzen die­ser Lücke kann es Angreifern unter bestimm­ten Konstellationen erlau­ben Java Code in die Bamboo JVM ein­zu­schleu­sen und mit den Rechten des JVM-Nutzers auf dem Server aus­zu­füh­ren. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchs­ten Schweregrad in…

Sicherheitslücke in Atlassian GreenHopper

Zusätzlich zum Hinweis über eine Sicherheitslücke in FishEye und Crucible hat Atlassian heute einen Hinweis zu einer Sicherheitslücke in GreenHopper ver­öf­fent­licht. Dabei han­delt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweit­höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall kann ein Angreifer eige­nes JavaScript auf einer GreenHopper-Seite ein­bet­ten.…

Sicherheitslücke in Atlassian FishEye und Crucible

Heute hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Sie ermög­licht Angreifern unter bestimm­ten Umständen sowohl die anonyme Registrierung an dem betrof­fe­nen System, als auch den anony­men Zugriff auf das System. Atlassian stuft die Sicherheitslücke als “Medium” ein, was dem zweit­nied­rigs­ten mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. In die­sem Fall ist es dem Angreifer mög­lich, alle in…

Sicherheitsanfälligkeiten in SharePoint können Erhöhung von Berechtigungen ermöglichen (Sicherheitsupdate MS12-050)

Mit MS12-050 wird seit heute über Windows Update ein kri­ti­sches Sicherheitsupdate für SharePoint 2010 ver­teilt. Dieses Sicherheitsupdate behebt eine öffent­lich gemel­dete Sicherheitsanfälligkeit und fünf ver­trau­lich gemel­dete Sicherheitsanfälligkeiten in Microsoft SharePoint und Windows SharePoint Services. Die schwer­wie­gends­ten die­ser Sicherheitsanfälligkeiten kön­nen die Erhöhung von Berechtigungen ermög­li­chen, wenn ein Benutzer auf eine spe­zi­ell gestal­tete URL klickt, die den Benutzer zu der betrof­fe­nen SharePoint-Website…

Kritische Sicherheitslücke in Confluence

Am ver­gan­ge­nen Donnerstag hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Sie wird durch die Art und Weise, auf die XML-Parser eines Drittanbieters ver­wen­det wer­den, ver­ur­sacht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer auf Grund die­ser Sicherheitslücke, auch ohne am System…

Sicherheitslücken in FishEye und Crucible

Heute hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in FishEye/Crucible ver­öf­fent­licht, die mit den neuen Versionen beho­ben wur­den. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Alle Versionen vor FishEye 2.5.5 sind betrof­fen. Es wird emp­foh­len, FishEye min­des­tens auf die Version 2.5.5 über die das Dowload Center für FishEye…

Sicherheitslücke in Bamboo

Heute  hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in Bamboo ver­öf­fent­licht. Sechs der Sicherheitslücken wer­den von Atlassian als “High”, eine als "Medium" ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret bedeu­tet dies, sie sind nur schwer aus­zu­nut­zen und führt dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust.

Sicherheitslücken in JIRA

Atlassian hat ges­tern einen Hinweis zu meh­re­ren Sicherheitslücken für JIRAveröffentlicht. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Die JIRA Versionen 4.1.x – 4.3.x sind betrof­fen. Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. JIRA Studio ist für die­ses Problem nicht anfäl­lig.

Sicherheitslücken in Confluence

Heute hat Atlassian einen Hinweis zu meh­re­ren Sicherheitslücken ver­öf­fent­licht. Es befin­den sich dar­un­ter auch zwei als hoch (High) ein­ge­stufte Anfälligkeiten gegen Cross-Site-Scripting (XSS). Dies bedeu­tet ent­spre­chend der von Atlassian defi­nier­ten Abstufung, dass sie schwer aus­zu­nut­zen sind und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit öffent­li­chem Zugang (über das Internet) und mit akti­vier­ter öffent­li­cher…