Zeige mehr…

Crowd Dokumentation - Crowd Sicherheitsempfehlung vom 21.05.2014

Diese Empfehlung gibt eine kritische Sicherheitsschwachstelle bekannt, die Atlassian in Crowd gefunden und mit einer neuen Crowd-Version behoben hat.

Die Schwachstelle betrifft alle Crowd-Versionen bis einschließlich 2.7.1.

Atlassian hat sich dazu verpflichtet die Sicherheit seiner Produkte fortlaufend zu verbessern. Atlassian unterstützt die Meldung von Schwachstellen und begrüßt es, wenn Personen mit ihnen zusammenarbeiten, um das Problem zu identifizieren und zu lösen.

Wenn Sie Bedenken oder Fragen zu dieser Empfehlung haben, reichen Sie bitte eine Support-Anfrage unter http://support.atlassian.com ein.

ClassLoader Manipulations-Schwachstelle

Schweregrad

Atlassian stuft den Schweregrad dieser Schwachstelle, gemäß der Skala mit den Schweregraden von Sicherheitsproblemen, als kritisch ein. Mit der Skala kann Atlassian den Schweregrad als kritisch, hoch, moderat oder niedrig einstufen.

Das ist eine unabhängige Bewertung und Sie sollten dessen Anwendbarkeit auf Ihre eigene IT-Umgebung überprüfen.

Beschreibung

Atlassian hat eine Schwachstelle in ihrer Abzweigung von Apache Struts behoben. Angreifer können diese Schwachstelle ausnutzen um einen Java-Code ihrer Wahl auf Systemen auszuführen, die diese Frameworks benutzen. Der Angreifer muss in der Lage sein auf Crowds Web-Oberfläche zuzugreifen. In den Fällen, in denen der anonyme Zugriff aktiviert ist, ist kein gültiger Benutzeraccount erforderlich um diese Schwachstelle auszunutzen.

Atlassian hat diese Schwachstelle während der Überprüfung der neuesten Struts Sicherheitsempfehlungen entdeckt. Diese Schwachstelle ist spezifisch für Crowd.

Die Schwachstelle betrifft alle früheren Crowd-Versionen bis einschließlich 2.7. Crowd 2.5.7, 2.6.7 und 2.7.2 sind nicht davon betroffen. Der Vorgang kann hier weiterverfolgt werden: CWD-3904 - ClassLoader manipulation vulnerabilityRESOLVED.

Risikominimierung

Wenn Sie nicht in der Lage sind Ihren Crowd Server upzugraden, können Sie folgendes als temporären Workaround tun:

Behebung

Diese Schwachstelle kann durch ein Crowd-Upgrade behoben werden. Es gibt keine verfügbaren Patches für diese Schwachstelle.

Die Sicherheitspatch Richtlinie beschreibt wann und wie Atlassian Sicherheitspatches und Sicherheitsupgrades für ihre Produkte veröffentlicht.

Crowd upgraden

Aktualisieren Sie auf Crowd 2.5.7, 2.6.7, 2.7.2 oder eine neuere Version, die diese Schwachstelle behebt. Wir empfehlen Ihnen auf die neueste Crowd-Version zu aktualisieren, wenn möglich. Für eine vollständige Beschreibung dieser Releases, lesen Sie bitte die Crowd Release Notes. Sie können diese Crowd-Versionen aus dem Download Center herunterladen.

Crowd Dokumentation Übersicht:

Die Seiten können in der Mobilversion leider nicht aufgelistet werden.

Zurück zur Übersicht

Nächste Seite

Workshop Angebote

Zeige mehr…
Zeige mehr…