Diese Empfehlung gibt eine Sicherheitslücke in früheren Crowd-Versionen bekannt, die Atlassian gefunden und in Crowd 2.0.5 behoben hat.


XSS Anfälligkeit

Schweregrad

Atlassian bewertet diese Schwachstelle, nach der Skala auf der Seite über die Schweregrade von Sicherheitsproblemen, als hoch. Mit der Skala kann Atlassian den Schweregrad als kritisch, hoch, moderat oder niedrig einstufen.


Risikobewertung

Atlassian hat eine Cross-Site Scripting (XSS) Schwachstelle identifiziert und behoben, die möglicherweise Crowd-Instanzen in öffentlichen Umgebungen schaden könnte. Diese Schwachstelle könnte ein Angreifer für die Einbettung seines eigenen JavaScript Codes auf Crowds Login-Seite ausnutzen. Der Text und das Script eines Angreifers könnte dann Personen angezeigt werden, die die Seite ansehen. Dies könnte potentiell der Reputation Ihres Unternehmens schaden.

Sie können mehr über die XSS-Angriffe auf cgisecurity, CERT und anderen Webseiten nachlesen.


Schwachstelle

Crowds Login-Formular könnte für XSS-Angriffe verwundbar sein. Diese Schwachstelle ist in CWD-1952 dokumentiert.

Diese Schwachstelle existiert in allen Crowd-Versionen bis einschließlich Crowd 2.0.4.


Risikominimierung

Um dieses Problem zu beseitigen empfehlen wir Ihnen Crowd upzugraden. Wenn Sie nicht sofort upgraden können, können Sie die XSS-Schwachstelle beheben, indem Sie Ihre Konfiguration dahingehend editieren, dass die Anfrageparameter in generierten URLs verboten sind. Weitere Details finden Sie unten.

Wenn Sie nicht in der Position sind ein Upgrade durchzuführen oder Ihre Konfiguration umgehend zu editieren, sollten Sie in Ihrer Firewall einstellen, dass der Internetzugriff für Crowd blockiert wird.


Behebung

In Crowd 2.0.5 sind diese Sicherheitslücke und andere Fehler behoben. Sehen Sie hier die Release Notes an. Sie können Crowd 2.0.5 im Download Center herunterladen.

Wenn Sie nicht direkt upgraden können, können Sie diese XSS-Schwachstelle beheben, indem Sie die Anfrageparameter in generierten URLs verbieten. Sie können die Einbeziehung von Anfrageparametern in generierten URLs deaktivieren, indem Sie Ihre WebWork Einstellungsdatei editieren:

  1. Editieren Sie die webwork.properties Datei, die unter {CROWD-INSTALLATION-DIRECTORY}\crowd-webapp\WEB-INF\classes\webwork.properties liegt.

  2. Fügen Sie die folgende Eigenschaft als neue Zeile in die Datei ein:

    webwork.url.includeParams=none
  3. Speichern Sie die Datei.
  4. Starten Sie Crowd neu.

Die WebWork Dokumentation beinhaltet weitere Informationen über die webwork.properties Datei.




Crowd Dokumentation Übersicht:

Alles erweitern   Alles ausblenden



Zurück zur Übersicht
Nächste Seite
Original-Version auf Englisch
Workshop Angebote
Frage im Q&A Portal stellen

Crowd Doku

Diese Seite wurde zuletzt am 19.04.2024 geändert.