Diese Empfehlung gibt eine kritische Sicherheitslücke bekannt, die in allen Crowd-Versionen bis einschließlich 2.4.0 vorhanden ist. Kunden sollten ihre existierenden Crowd-Installationen upgraden, um diese Schwachstelle zu beheben. Atlassian bietet auch einen Patch an, den Sie auf Ihre Crowd-Installationen anwenden können, um diese Schwachstelle zu beheben. Allerdings empfehlen wir Ihnen Ihre Crowd-Installation zu aktualisieren, anstatt den Patch anzuwenden.

Kritische XML-Parsing Schwachstelle

Schweregrad

Atlassian bewertet das Sicherheitsrisiko dieser Schwachstelle, gemäß der Skala auf der Seite über die Schweregrade von Sicherheitsproblemen, als kritisch. Die Skala erlaubt Atlassian die Sicherheit als kritisch, hoch, moderat oder niedrig einzustufen.

Dies ist eine unabhängige Bewertung und Sie sollten ihre Anwendbarkeit auf Ihre IT-Umgebung überprüfen.

Beschreibung

Atlassian hat eine Schwachstelle in Crowd entdeckt und behoben, die aus der Art wie Drittanbieter XML-Parser in Crowd verwendet werden resultieren.

Diese Schwachstelle erlaubt einem Angreifer folgendes:

• Ausführung von Denial-of-Service Angriffen gegen den Crowd Server.
• Lesen aller lokalen Daten, die für den Systembenutzer, unter dem Crowd läuft, sichtbar sind.

Alle Crowd-Versionen bis einschließlich 2.4.0 sind von dieser Schwachstelle betroffen. Der Vorgang dazu kann hier eingesehen werden: CWD-2797 - XML Vulnerability in Crowd RESOLVED

Risikominimierung

Wir empfehlen Ihnen Ihre Crowd-Installation zu aktualisieren, um diese Schwachstelle zu beheben.

Wenn Sie nicht in der Position sind zu aktualisieren oder Patches anzuwenden, sollten Sie alternativ all die folgenden Dinge tun, bis Sie aktualisieren oder patchen können. Bitte beachten Sie, dass diese Maßnahmen die möglichen Auswirkungen dieser Schwachstelle nur verringern, sie aber nicht vollständig beseitigen.

• Stellen Sie sicher, dass die Crowd URLs nicht von vertrauensunwürdigen Quellen erreicht werden können, z. B. durch entsprechende Firewall- oder Proxy-Einstellungen.
• Sorgen Sie dafür, dass der Betriebssystem-Benutzer, unter dem Crowds Prozesse laufen, eingeschränkt ist.

Behebung

Upgrade (empfohlen)

Aktualisieren Sie auf Crowd 2.4.1 oder neuer, um diese Schwachstelle zu beheben. Für eine vollständige Beschreibung dieses Releases lesen Sie bitte die Crowd 2.4.1 Release Notes. Die folgenden Releases wurden ebenfalls für die Behebung dieses Problems in älteren Crowd-Versionen verfügbar gemacht. Sie können diese Crowd-Versionen aus dem Download Center herunterladen.

• 2.3.7 für Crowd 2.3
• 2.2.9 für Crowd 2.2
• 2.1.2 für Crowd 2.1
• 2.0.9 für Crowd 2.0

Patches (nicht empfohlen)

Wir empfehlen das Patching nur, wenn Sie weder Upgrades durchführen, noch externe Sicherheitskontrollen anwenden können. Patches werden üblicherweise nur für kritische bewertete (nach Atlassians Sicherheits-Richtlinie) Schwachstellen als Übergangslösungen bereitgestellt, bis Sie upgraden können. Sie sollten also nicht annehmen, dass Sie einfach immer Ihr System patchen, anstatt es zu aktualisieren. Atlassians Patches sind oft nicht kumulativ - wir empfehlen nicht mehrere Patches von verschiedenen Empfehlungen nacheinander anzuwenden, aber regelmäßig auf die neueste Version upzugraden.

Wenn Sie, aus welchen Gründen auch immer, nicht auf die neueste Crowd-Version aktualisieren können, müssen Sie den für die relevante Crowd-Version verfügbaren Patch anwenden, um die hier beschriebene Schwachstelle zu beheben.

1. Laden Sie die Patch-Datei für Ihre Crowd-Version herunter. Beachten Sie, dass die Patches nur für die angegebenen Point-Releases verfügbar sind. Wenn Sie ein älteres Point-Release für eine Hauptversion verwenden, müssen Sie zunächst auf das neueste Point-Release aktualisieren.

   Version	Patch
   Crowd 2.4.0	patch-CWD-2797-2.4.0.zip
   Crowd 2.3.6	patch-CWD-2797-2.3.6.zip

2. Entpacken Sie die Patch-Datei im atlassian-crowd-x.x.x Verzeichnis (anstatt "x.x.x" steht hier die Crowd-Version), damit die existierenden Dateien überschrieben werden.