Diese Empfehlung gibt eine kritische Sicherheitsschwachstelle bekannt, die Atlassian in Crowd gefunden und mit einer neuen Crowd-Version behoben hat.

  • Kunden, die Crowd heruntergeladen und installiert haben sollten ihre existierenden Crowd-Installationen upgraden oder den Patch anwenden, um diese Schwachstelle zu beheben.
  • Atlassian Cloud (ehemals OnDemand) Kunden wurden bereits mit dem Fix für das hier beschriebene Problem upgegradet.
  • Keine anderen Atlassian-Produkte sind betroffen.

Die Schwachstelle betrifft alle Crowd-Versionen bis einschließlich 2.7.1.

Atlassian hat sich dazu verpflichtet die Sicherheit seiner Produkte fortlaufend zu verbessern. Atlassian unterstützt die Meldung von Schwachstellen und begrüßt es, wenn Personen mit ihnen zusammenarbeiten, um das Problem zu identifizieren und zu lösen.

Wenn Sie Bedenken oder Fragen zu dieser Empfehlung haben, reichen Sie bitte eine Support-Anfrage unter http://support.atlassian.com ein.


ClassLoader Manipulations-Schwachstelle

Schweregrad

Atlassian stuft den Schweregrad dieser Schwachstelle, gemäß der Skala mit den Schweregraden von Sicherheitsproblemen, als kritisch ein. Mit der Skala kann Atlassian den Schweregrad als kritisch, hoch, moderat oder niedrig einstufen.

Das ist eine unabhängige Bewertung und Sie sollten dessen Anwendbarkeit auf Ihre eigene IT-Umgebung überprüfen.


Beschreibung

Atlassian hat eine Schwachstelle in ihrer Abzweigung von Apache Struts behoben. Angreifer können diese Schwachstelle ausnutzen um einen Java-Code ihrer Wahl auf Systemen auszuführen, die diese Frameworks benutzen. Der Angreifer muss in der Lage sein auf Crowds Web-Oberfläche zuzugreifen. In den Fällen, in denen der anonyme Zugriff aktiviert ist, ist kein gültiger Benutzeraccount erforderlich um diese Schwachstelle auszunutzen.

Atlassian hat diese Schwachstelle während der Überprüfung der neuesten Struts Sicherheitsempfehlungen entdeckt. Diese Schwachstelle ist spezifisch für Crowd.

Die Schwachstelle betrifft alle früheren Crowd-Versionen bis einschließlich 2.7. Crowd 2.5.7, 2.6.7 und 2.7.2 sind nicht davon betroffen. Der Vorgang kann hier weiterverfolgt werden: CWD-3904 - ClassLoader manipulation vulnerability RESOLVED.


Risikominimierung

Wenn Sie nicht in der Lage sind Ihren Crowd Server upzugraden, können Sie folgendes als temporären Workaround tun:

  • Blockieren Sie in einem Reserve-Proxy oder einer Firewall alle Anfragen, die das folgende reguläre Ausdrucksmuster in URL-Parametern haben. Beachten Sie, dass dies nicht für jede URL-Verschlüsselung gilt, die möglicherweise präsent ist.

    .*[?&](.*\.||.*|\[('|"))(c|C)lass(\.|('|")]|\[).*


Behebung

Diese Schwachstelle kann durch ein Crowd-Upgrade behoben werden. Es gibt keine verfügbaren Patches für diese Schwachstelle.

Die Sicherheitspatch Richtlinie beschreibt wann und wie Atlassian Sicherheitspatches und Sicherheitsupgrades für ihre Produkte veröffentlicht.


Crowd upgraden

Aktualisieren Sie auf Crowd 2.5.7, 2.6.7, 2.7.2 oder eine neuere Version, die diese Schwachstelle behebt. Wir empfehlen Ihnen auf die neueste Crowd-Version zu aktualisieren, wenn möglich. Für eine vollständige Beschreibung dieser Releases, lesen Sie bitte die Crowd Release Notes. Sie können diese Crowd-Versionen aus dem Download Center herunterladen.




Crowd Dokumentation Übersicht:

Alles erweitern   Alles ausblenden



Zurück zur Übersicht
Nächste Seite
Original-Version auf Englisch
Workshop Angebote
Frage im Q&A Portal stellen

Crowd Doku

Dieser Inhalt wurde zuletzt am 26.11.2018 aktualisiert.

Der Inhalt auf dieser Seite ist schon seit einer Weile nicht mehr aktualisiert worden. Das muss kein Nachteil sein. Oft überdauern unsere Seiten Jahre, ohne wirklich unnütz zu werden. Einfach auf diesen Link klicken, wenn wir die Seite mal wieder aktualisieren sollten. Alte Inhalte können falsch, irreführend oder überholt sein. Bitte nutzen Sie das Formular oder den Live-Chat auf dieser Seite oder kontaktieren Sie uns via E-Mail unter content@seibert.group, wenn Sie Zweifel, Fragen, Anregungen oder Änderungswünsche haben.