Diese Empfehlung gibt einige Sicherheitslücken in früheren Crowd-Versionen bekannt, die Atlassian gefunden und in Crowd 2.0.4 behoben hat. Zusätzlich zum Crowd 2.0.4 Release bietet Atlassian noch Aktualisierungen für frühere Crowd-Versionen an, die die hier genannten Schwachstellen beheben.
XSS-Schwachstellen
Schweregrad
Atlassian bewertet diese Schwachstellen, gemäß der Skala auf der Seite über die Schweregrade von Sicherheitsproblemen, als hoch. Die Skala erlaubt die Bewertung einer Schwachstelle als kritisch, hoch, moderat oder niedrig.
Risikominimierung
Atlassian hat einige Cross-Site Scripting (XSS) Schwachstellen identifiziert und behoben, die Crowd-Instanzen in öffentlichen Umgebungen schaden können.
- Ein Angreifer kann die Schwachstelle dazu nutzen die Sitzungscookies und andere Anmeldedaten anderer Benutzer zu stehlen, indem er die Anmeldedaten zurück an seinen eigenen Web-Server sendet.
- Der Text und das Script eines Angreifers kann anderen Personen, die die Crowd-Seite betrachten, angezeigt werden. Das ist eine potentielle Schädigung der Reputation Ihres Unternehmens.
Sie können auf cgisecurity, CERT und anderen Webseiten mehr über XSS-Angriffe lesen.
Schwachstelle
Die Tabelle listet die betroffenen Bereiche in Crowd auf. Diese XSS-Schwachstellen sind in allen Crowd-Versionen, bis einschließlich Crowd 2.0.3, vorhanden.
| Crowd-Feature | Vorgang |
|---|
| Crowds Administrationskonsole | CWD-1888 |
| Fehlermeldungsseite | CWD-1889 |
Risikominimierung
Um diese Probleme zu beseitigen sollten Sie Crowd schnellstmöglich upgraden. Wenn Sie ein Upgrade nicht umgehend durchführen können, sollten Sie in Ihrer Firewall den Internetzugriff von Crowd blockieren.
Behebung
In Crowd 2.0.4 sind all diese Probleme behoben und es gibt einige nette Verbesserungen obendrauf. Sehen Sie hier die Release Notes. Sie können Crowd 2.0.4 im Download Center herunterladen.
Wenn Sie nicht auf Crowd 2.0.4 upgraden können, laden Sie bitte die entsprechende Upgrade-Datei für Ihre Crowd-Version aus dem Download Center herunter:
