Diese Empfehlung informiert über Sicherheitslücken, die Atlassian im standalone Crowd Server fand und in der neuesten Crowd-Version behoben hat.

• Kunden, die standalone Crowd Server heruntergeladen und installiert haben sollten Ihre existierenden Crowd-Installationen aktualisieren, um diese Schwachstelle zu beheben.
• Atlassian Cloud (ehemals OnDemand) Kunden sind von keinen der hier beschriebenen Probleme betroffen.
• Kein anderer Crowd-Deployment Typ, neben dem standalone Server, ist davon betroffen.

Atlassian hat sich dazu verpflichtet die Sicherheit seiner Produkte fortlaufend zu verbessern.

Die hier aufgeführte Schwachstelle ist in einem Drittanbieter Framework - Struts 2 / WebWork 2, das Crowd verwendet. Die Schwachstelle wurde von Atlassian entdeckt und an die Struts Betreuer gemeldet.

Weitere Details zu der vorliegenden Struts Schwachstelle namens CVE-2013-2251 sind in der CVE-Datenbank und in der Struts Empfehlung verfügbar.

Wenn Sie Bedenken oder Fragen zu dieser Empfehlung haben, reichen Sie bitte eine Supportanfrage unter http://support.atlassian.com/ ein.

OGNL-Injektion in WebWork 2

Schweregrad

Atlassian stuft den Schweregrad dieser Schwachstelle, gemäß der Skala auf der Seite über die Schweregrade für Sicherheitsprobleme, als kritisch ein. Mit der Skala kann Atlassian den Schweregrad als kritisch, hoch, moderat und niedrig einstufen.

Das ist eine unabhängige Bewertung und Sie sollten ihre Anwendbarkeit auf Ihre IT-Umgebung einschätzen.

Beschreibung

Atlassian hat eine Schwachstelle in WebWork 2, das ein Teil des Struts Web-Frameworks ist, behoben. Unter bestimmten Umständen können Angreifer diese Schwachstelle ausnutzen, um ihren Java-Code auf Systemen auszuführen, die diese Frameworks verwenden. Im Fall von Crowd muss der Angreifer in der Lage sein auf die Crowd Web-Oberfläche zugreifen zu können. Ein gültiger Benutzeraccount ist für die Ausnutzung dieser Schwachstelle nicht erforderlich.

Kunden sollten darauf hingewiesen werden, dass sich dies auf alle Crowd-Versionen auswirkt, außer Cloud (ehemals OnDemand), Crowd 2.3.9, Crowd 2.4.10, Crowd 2.5.5 und Crowd 2.6.4 oder neuer. Der Vorgang kann hier weiterverfolgt werden: CWD-3430 - Webwork 2 code injection vulnerability RESOLVED

Risikominimierung

Wenn Sie nicht in der Lage sind Ihren Crowd Server zu aktualisieren oder einen Patch darauf anzuwenden, können Sie als temporären Workaround folgendes tun:

• Blockieren Sie den Zugriff auf alle URLs in einer Web-Applikations-Firewall oder einem Reverse Proxy, die einen der folgenden Strings enthalten: "redirect:", "action:" oder "redirect-action:". Ein partielles Beispiel für einen nginx Server ist unten. Beachten Sie, dass das Beispiel nur den "redirect:" Prefix abdeckt und nicht das URL-Encoding erklärt, das möglicherweise präsent ist.

  location ~* ^/<path to your Crowd>/ {
      if ($args ~* "redirect:") {
          return 403;
      }
      proxy_pass http://$host.internal$request_uri;
  }

  oder

• Blockieren Sie den Zugriff auf Ihre Crowd Server Web-Oberfläche von vertrauensunwürdigen Netzwerken, wie das Internet.

Behebung

Diese Schwachstelle kann durch die Aktualisierung von Crowd behoben werden. Es gibt keine verfügbaren Patches für diese Schwachstelle — bei Fragen reichen Sie bitte eine Supportanfrage unter http://support.atlassian.com/ ein.

Die Sicherheitspatch Richtlinie beschreibt wann und wie Atlassian Sicherheitspatches und Sicherheitsupgrades für ihre Produkte veröffentlicht.

Upgrade

Die Schwachstellen und Fix-Versionen werden im Abschnitt "Beschreibung" weiter oben beschrieben.

Wir empfehlen Ihnen auf die neueste Crowd-Version upzugraden, wenn möglich. Lesen Sie für eine vollständige Beschreibung der neuesten Crowd-Version die Release Notes. Sie können die neueste Crowd-Version aus dem Download Center herunterladen.