Untergeordnete Seiten
  • Crowd Dokumentation - Crowd Sicherheitsempfehlung vom 10.03.2017
Zum Ende der Metadaten springen
Zum Anfang der Metadaten


Crowd - CVE-2017-5638

ZusammenfassungCVE-2017-5638 - Code-Ausführung in Crowd aus der Ferne.
Veröffentlichungsdatum

 10 AM PDT (Pacific Time, -7 Stunden)

ProduktCrowd. (CrowdID ist ebenfalls betroffen, Embedded Crowd jedoch nicht)
Betroffene Crowd-Versionen
  • 2.8.3 <= Version < 2.9.7
  • 2.10.1 <= Version < 2.10.3
  • 2.11.0 <= Version < 2.11.1
CVE ID(s)CVE-2017-5638


Zusammenfassung der Schwachstelle

Diese Empfehlung gibt eine kritische Sicherheitslücke bekannt, die mit der Crowd-Version 2.8.3 eingeführt wurde. Crowd-Versionen von 2.8.3 bis unter 2.9.7 (die gefixte Version für 2.9.x), von 2.10.1 bis unter 2.10.3 (die gefixte Version für 2.10.x) und von 2.11.0 bis unter 2.11.1 (die gefixte Version für 2.11.x) sind von dieser Sicherheitslücke betroffen.


Atlassian Cloud Instanzen sind nicht von dem hier beschriebenen Problem betroffen.

Wenn Sie Crowd auf die Version 2.9.7, 2.10.3 oder 2.11.1 aktualisiert haben, sind Sie nicht von diesem Problem betroffen.

Bitte aktualisieren Sie Ihre Crowd-Version umgehend, um diese Schwachstelle zu beheben, wenn Sie eine der folgenden Crowd-Versionen haben:

  • Von >= 2.8.3 bis unter 2.9.7 (die gefixte Version für 2.9.x)
  • Von >= 2.10.1 bis unter 2.10.3 (die gefixte Version für 2.10.x)
  • Von >= 2.11.0 bis unter 2.11.1 (die gefixte Version für 2.11.x)


Code-Ausführung über Apache Struts 2 aus der Ferne (CVE-2017-5638)

Schweregrad

Atlassian stuft den Schweregrad dieser Schwachstelle, gemäß Atlassians Schweregraden, als kritisch ein. Die Skala erlaubt Atlassian die Schweregrade als kritisch, hoch, moderat oder niedrig.

Dies ein eine unabhängige Bewertung. Sie sollten dessen Anwendbarkeit auf Ihre eigene IT-Umgebung überprüfen.


Beschreibung

Crowd verwendet eine Version von Apache Struts 2, die nach CVE-2017-5638 verwundbar war. Angreifer können diese Schwachstelle dazu verwenden ihren Java-Code ohne Authentifizierung auf Systemen auszuführen, die eine der Crowd-Versionen verwenden, die diese Sicherheitslücke hat.

Alle Crowd-Versionen von 2.8.3 bis unter 2.9.7 (die gefixte Version für 2.9.x), von 2.10.1 bis unter 2.10.3 (die gefixte Version für 2.10.x) und von 2.11.0 bis unter 2.11.1 (die gefixte Version für 2.11.x) sind von dieser Schwachstelle betroffen. Sie können den Vorgang hier weiterverfolgen: CWD-4879 - Apache Struts 2 Remote Code Execution (CVE-2017-5638) CLOSED.


Behebung

Um dieses Problem zu beseitigen, hat Atlassian die folgenden Versionen veröffentlicht, die einen Fix beinhalten:

  • Crowd-Version 2.9.7
  • Crowd-Version 2.10.3
  • Crowd-Version 2.11.1


Was Sie tun müssen

Aktualisieren Sie Crowd auf die Version 2.11.1 oder höher

Die Schwachstellen und die Fix-Versionen sind oben beschrieben. Wenn Ihre Version betroffen ist, sollten Sie umgehend auf die neueste Version upgraden.

Wenn Sie Crowd 2.10.x verwenden und nicht auf 2.11.1 upgraden können, aktualisieren Sie auf die Version 2.10.3.

Wenn Sie Crowd 2.0.x verwenden und nicht auf 2.11.1 upgraden können, aktualisieren Sie auf die Version 2.9.7.


Lesen Sie für die vollständige Beschreibung der neuesten Crowd-Version die Release Notes. Sie können die neueste Crowd-Version aus dem Download Center herunterladen.


Entdeckung

Angesichts der Tatsache, dass Atlassian die Schwachstelle bestätigte, empfehlen wir Kunden nach Anzeichen zu suchen, selbst wenn sie umgehend eine Aktualisierung durchgeführt haben. Das Ausmachen solcher Angriffe ist Umgebungs-spezifisch, jedoch finden sich unten trotzdem einige Indikatoren, die Sie nützlich finden könnten.

Derselbe Ausdruck kann über alle Log-Typen hinweg verwendet werden. Er ist besonders hilfreich, wenn Sie einen SIEM oder Log-Aggregator für die Analyse aller Logs zur gleichen Zeit verwenden:

grep -E 'InvalidContentTypeException.+multipart\/form\-data' *.log

Wenn ein Code aus der Ferne ausgeführt werden würde, würden Sie einen OGNL-Ausdruck sehen, der auf dem Server ausgewertet wird. Diese Befehle beginnen typischerweise mit "#cmd=" oder "#cmds=", so wie hier:

(#cmd='ls')
(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd}))

Crowd protokolliert all seine Applikations-Events in der "atlassian-crowd.log" Datei. Der Standardpfad ist: "<CROWD_HOME>/logs/atlassian-crowd.log.

017-03-10 10:27:29,340 http-bio-8095-exec-22 WARN [struts2.dispatcher.multipart.JakartaMultiPartRequest] Unable to parse request
org.apache.commons.fileupload.FileUploadBase$InvalidContentTypeException: the request doesn't contain a multipart/form-data or multipart/mixed stream, content type header is %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#
_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='touch /tmp/pwned').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
...


Support

Wenn Sie Bedenken oder Fragen bezüglich dieser Empfehlung haben, reichen Sie bitte eine Support-Anfrage unter https://support.atlassian.com/ ein.


Referenzen

Richtlinie für Sicherheits-Bug-Fixes

Gemäß Atlassians neuer Richtlinie werden kritische Sicherheits-Bug-Fixes zu Hauptversionen für bis zu 12 Monaten für Jira und Confluence zurück portiert. Atlassian wird neue Service-Pakete, anstatt Binary-Patches, für die Versionen herausgeben, die von der neuen Richtlinie abgedeckt sind.

Binary-Patches werden nicht mehr veröffentlicht.

Schweregrade der Sicherheitslücken

In Atlassians Sicherheitsempfehlungen sind Schweregrade und CVE-Kennungen enthalten. Die Schweregrade basieren auf Atlassians selbst-kalkulierten CVSS-Punktezahl für jede Schwachstelle. CVSS ist eine Industriestandard Schwachstellen-Metrik.

Sie können auf FIRST.org mehr über CVSS erfahren.

End-of-Life Richtlinie (auf Englisch)Atlassians End-of-Life Richtlinie variiert je nach Produkt. Lesen Sie bitte die EOL-Richtlinie für weitere Details.





Crowd Dokumentation Übersicht:



Crowd Doku

  • Keine Stichwörter