Crowd - Die LDAP Java Objekt-Injektion ergibt eine Remote-Code Ausführung - CVE-2016-6496

ZusammenfassungCVE-2016-6496 - Crowd LDAP Java Objekt-Injektion
Veröffentlichungsdatum der Empfehlung


 10 AM PDT (Pacific Time, -7 Stunden)

ProduktCrowd
Betroffene Crowd-Versionen
  • 1.4.1 <= Version < 2.8.8
  • 2.9.0 <= Version < 2.9.5
Gefixte Crowd-Versionen
  • Für 2.8.x wurde Crowd 2.8.8 mit einem Fix für dieses Problem herausgegeben.
  • Für 2.9.x wurde Crowd 2.9.5 mit einem Fix für dieses Problem herausgegeben.
  • Für 2.10.x wurde Crowd 2.10.1 mit einem Fix für dieses Problem herausgegeben.


Zusammenfassung der Schwachstelle

Diese Empfehlung informiert über eine kritische Sicherheitslücke, die in der Crowd-Version 1.4.1 hervor ging. Crowd-Versionen von 1.4.1 bis 2.8.8 (die gefixte Version für 2.8.x) und von 2.9.0 bis 2.9.5 (die gefixte Version 2.9.x) sind von dieser Schwachstelle betroffen.


Atlassian Cloud Kunden sind nicht von der hier beschriebenen Schwachstelle betroffen.


  • Kunden, die die Crowd-Versionen heruntergeladen und installiert haben >= von 1.4.1 bis 2.8.8 (die gefixte Version für 2.8.x)
  • Kunden, die die Crowd-Versionen heruntergeladen und installiert haben >= von 2.9.0 bis 2.9.5 (die gefixte Version für 2.9.x)

Bitte aktualisieren Sie Ihre Crowd-Installationen umgehend, um diese Schwachstelle zu beheben.


Jira Core, Jira Software, Jira Service Desk, Confluence, Bitbucket Server, Fisheye und Crucible Installationen, die nicht die SSL-/TLS-Verbindung für konfigurierte LDAP-Server nutzen oder Benutzern erlauben bestimmte Attribute eines LDAP-Eintrags zu editieren, sind von diesem Problem betroffen. Atlassian bewertet den Schweregrad dieser Schwachstelle in diesen Produkten als hoch. Gemäß der Richtlinie für die Behebung von Sicherheitsbugs sind die Fixes in den neuesten Maintenance Releases enthalten.

  • Kunden, die die Jira-Versionen heruntergeladen und installiert haben >= von 4.3.0 bis 7.2.1 (die gefixte Version für 7.2.x)
  • Kunden, die die Confluence-Versionen heruntergeladen und installiert haben >= von 3.5.0 bis 5.10.6 (die gefixte Version für 5.10.x)
  • Kunden, die die Bitbucket Server Versionen heruntergeladen und installiert haben >= von 1.3.0 bis 4.10.0 (die gefixte Version für 4.10.x)
  • Kunden, die die Fisheye und Crucible Versionen heruntergeladen und installiert haben >= von 4.0.0 bis 4.2.0 (die gefixte Version für 4.2.x)


Wir empfehlen ein Upgrade Ihrer Installationen, um diese Schwachstelle zu beheben.


Crowd LDAP Java Objekt-Injektion (CVE-2016-6496)


Schweregrad

Atlassian stuft den Schweregrad dieser Schwachstelle, gemäß der Skala auf der Seite über die Schweregrade, als kritisch ein. Die Skala erlaubt es Atlassian Schwachstellen als kritisch, hoch, moderat oder niedrig einzustufen.

Dies ist eine unabhängige Bewertung, dessen Anwendbarkeit auf Ihre IT-Umgebung Sie überprüfen sollten.


Beschreibung

Der Crowd LDAP-Verzeichnis-Konnektor erlaubte einem Angreifer, durch die Injizierung böswilliger Attribute in LDAP-Einträge, die Ausführung eines Codes in Crowd aus der Ferne. Um diesen Fehler auszunutzen, müssen Angreifer entweder einen Eintrag in einem LDAP-Verzeichnis konfigurieren, welches von Crowd verwendet werden kann oder erfolgreich eine Man-in-The-Middle Attacke zwischen einem LDAP-Server und Crowd ausführen. Crowd-Installationen, die so konfiguriert sind, dass sie mit LDAPs Protokoll mit der aktivierten Secure SSL Option mit einem LDAP-Server kommunizieren, sind gegen Man-in-The-Middle Attacken immun (außer der Angreifer ist in der Lage den Private Key des SSL-/TLS-Zertifikats herauszufinden, der für die Verschlüsselung der Kommunikation verantwortlich ist).

Alle Crowd-Versionen von 1.4.1 bis unter 2.8.8 (die gefixte Version für 2.8.x) und von 2.9.0 bis unter 2.9.5 (die gefixte Version für 2.9.x) sind von dieser Schwachstelle betroffen. Dieser Vorgang kann hier weiterverfolgt werden: CWD-4790 - CVE-2016-6496: LDAP Java Object Injection in Crowd CLOSED.


Danksagungen

Atlassian möchte Alvaro Munoz und Alexander Mirosh von HPE Security Fortify für das Melden dieses Fehlers danken.


Behebung

Atlassian hat folgende Schritte unternommen, um diesen Fehler zu beheben:

  1. Crowd-Version 2.10.1 wurde mit einem Fix für dieses Problem veröffentlicht.
  2. Crowd-Version 2.9.5 wurde mit einem Fix für dieses Problem veröffentlicht.
  3. Crowd-Version 2.8.8 wurde mit einem Fix für dieses Problem veröffentlicht.
  4. Jira Core Version 7.2.1 wurde mit einem Fix für dieses Problem veröffentlicht.
  5. Confluence-Version 5.10.6 wurde mit einem Fix für dieses Problem veröffentlicht.
  6. Bitbucket Server Version 4.10.0 wurde mit einem Fix für dieses Problem veröffentlicht.
  7. Fisheye und Crucible Version 4.2.0 wurde mit einem Fix für dieses Problem veröffentlicht.


Was Sie tun müssen


Upgrade (empfohlen)

Die Schwachstellen und Fix-Versionen sind im Abschnitt "Beschreibung" oben dargelegt. Atlassian empfiehlt Ihnen das Upgrade auf die neueste Version.


Aktualisieren Sie Crowd auf die Version 2.10.1 oder höher.

Wenn Sie Crowd 2.9.x verwenden und nicht auf Crowd 2.10.1 upgraden können, aktualisieren Sie stattdessen auf die Version 2.9.5.

Wenn Sie Crowd 2.8.x verwenden und nicht auf Crowd 2.9.5 upgraden können, aktualisieren Sie stattdessen auf die Version 2.8.8.

Für eine vollständige Beschreibung der neuesten Crowd-Version, lesen Sie die Release Notes. Sie können die neueste Crowd-Version aus dem Download Center herunterladen.


Aktualisieren Sie Jira Core (ebenfalls erforderlich wenn Sie Jira Software oder Jira Service Desk verwenden) auf die Version 7.2.1 oder höher.

Für eine vollständige Beschreibung der neuesten Jira Core Version, lesen Sie bitte die Release Notes. Sie können die neueste Jira-Version aus dem Download Center herunterladen.


Aktualisieren Sie Confluence auf die Version 5.10.6 oder höher.

Für eine vollständige Beschreibung der neuesten Confluence-Version, lesen Sie die Release Notes. Sie können die neueste Jira-Version aus dem Download Center herunterladen.


Aktualisieren Sie Bitbucket Server auf die Version 4.10.0 oder höher.

Für eine vollständige Beschreibung der neuesten Bitbucket Server Version, lesen Sie die Release Notes. Sie können die neueste Bitbucket Server Version aus dem Download Center herunterladen.


Aktualisieren Sie Fisheye und Crucible auf die Version 4.2.0 oder höher.

Für eine vollständige Beschreibung der neuesten Fisheye und Crucible Version, lesen Sie die Release Notes. Sie können die neueste Fisheye und Crucible Version aus dem Download Center herunterladen.


Risikominimierung

Dieses Problem kann abgeschwächt werden, indem die Modifizierungen der LDAP-Einträge von LDAP-Benutzern eingeschränkt werden und die SSL-/TLS-Verbindung zwischen LDAP-Server und Crowd konfiguriert wird.

Wenn Sie Crowd 2.8.x verwenden und nicht auf 2.8.8 oder 2.9.5 upgraden können, dann können Sie die folgenden Schritte vornehmen, um das Problem abzuschwächen:

  1. Konfigurieren Sie die SSL-/TLS-Verbindung zwischen einem LDAP-Server und Crowd. Lesen Sie die Seite über die Konfiguration von Crowd für die Funktion mit SSL für weitere Informationen über die Einrichtung von sicheren Übertragungen.
  2. Schränken Sie die Modifikation der LDAP-Einträge von LDAP-Benutzern ein. Die folgenden Einschränkungen sollten implementiert werden:
    • Die Benutzer sollten nicht in der Lage sein zusätzliche Objektklassen zu ihren LDAP-Einträgen hinzuzufügen ("javaContainer", "javaObject", "javaNamingReference", "javaSerializedObject", "javaMarshalledObject")
    • Die Benutzer sollten nicht in der Lage sein Attribute zu manipulieren, die mit der Speicherung von Java-Objekten in einem LDAP-Verzeichnis zu tun haben ("javaSerializedData", "javaClassName", "javaFactory", "javaCodeBase", "javaReferenceAddress", "javaClassNames", "javaRemoteLocation")


Support

Wenn Sie Bedenken oder Fragen bezüglich dieser Empfehlung haben, reichen Sie bitte eine Support-Anfrage unter https://support.atlassian.com/ ein.


Referenzen

Richtlinien für die Behebung von Sicherheitslücken

Gemäß Atlassians neuer Richtlinie werden Fixes von Sicherheitsfehlern fortlaufend in Hauptversionen für Jira und Confluence für bis zu 12 Monaten bereitgestellt. Atlassian veröffentlicht neue Servicepakete für die Versionen, die von den neuen Richtlinien abgedeckt werden, anstelle von Binary-Patches.

Binary-Patches werden nicht mehr veröffentlicht.

Schweregrade von SicherheitsproblemenAtlassians Sicherheitsempfehlungen inkludieren einen Schweregrad und einen CVE-Identifikator. Dieser Schweregrad basiert auf Atlassians selbstkalkulierten CVSS-Punktzahl für jede spezifische Schwachstelle. CVSS ist eine Industrie-Standard-Schwachstellen Metrik. Sie können mehr über CVSS auf FIRST.org lernen.
End of Life Richtlinie (auf Englisch)Atlassians End-of-Life Richtlinie variiert nach den verschiedenen Produkten. Bitte beziehen Sie sich auf die EOL Richtlinie für weitere Details.





Crowd Dokumentation Übersicht:

Alles erweitern   Alles ausblenden



Zurück zur Übersicht
Nächste Seite
Original-Version auf Englisch
Workshop Angebote
Frage im Q&A Portal stellen

Crowd Doku

Dieser Inhalt wurde zuletzt am 26.11.2018 aktualisiert.

Der Inhalt auf dieser Seite ist schon seit einer Weile nicht mehr aktualisiert worden. Das muss kein Nachteil sein. Oft überdauern unsere Seiten Jahre, ohne wirklich unnütz zu werden. Einfach auf diesen Link klicken, wenn wir die Seite mal wieder aktualisieren sollten. Alte Inhalte können falsch, irreführend oder überholt sein. Bitte nutzen Sie das Formular oder den Live-Chat auf dieser Seite oder kontaktieren Sie uns via E-Mail unter content@seibert.group, wenn Sie Zweifel, Fragen, Anregungen oder Änderungswünsche haben.