Parameter Injektions-Schwachstelle in Crowd
Schweregrad
Atlassian bewertet diese Schwachstelle, gemäß der Skala auf der Seite über die Crowd Sicherheitsempfehlungen und Fixes, als kritisch. Mit dieser Skala kann Atlassian Schwachstellen als kritisch, hoch, moderat oder niedrig einstufen.
Risikobewertung
Atlassian hat einen Fehler entdeckt und behoben, durch den ein böswilliger Benutzer (Hacker) seine eigenen Werte in eine Crowd-Anfrage einspielen kann, indem er Parameter zum URL-String hinzufügt. Dadurch würde ein Hacker Crowds Sicherheitsprüfungen umgehen und Aktionen ausführen können, für die er nicht autorisiert ist.
Risikominimierung
Um dieses Problem anzugehen sollten Sie Crowd schnellstmöglich upgraden. Bitte befolgen Sie den Instruktionen im Abschnitt "Fix" unten. Wenn Sie es wie erfordert beurteilen, können Sie alle nicht vertrauenswürdigen IP-Adressen vom Zugriff auf Crowd ausschließen.
Schwachstellen
Ein Hacker kann einen URL-String entwerfen, der Parameter enthält, die Crowds Sicherheitsprüfungen umgehen und bestimmte Aktionen im Crowd Server ausführen. Das ist weil Crowd Benutzereingaben nicht ausreichend säubert, bevor er sie als Aktionen auf dem Server ausführt.
Wenn ein Angreifer diese Schwachstelle ausnutzt kann er auf Daten zugreifen und diese modifizieren und die Crowd-Applikation gefährden.
Die folgenden Crowd-Versionen sind anfällig: Alle Versionen von 1.0 bis einschließlich 1.5.0.
Behebung
Bitte laden Sie die relevante Upgrade-Datei für Ihre Crowd-Version aus dem Download Center herunter:
