Menü
Security

Schwachstelle in Single-Sign-On-Software Atlassian Crowd

vorlesen Drucken Kommentare lesen 3 Beiträge

Durch eine Sicherheitslücke in der Single-Sign-On-Software Atlassian Crowd konnten Angreifer durch speziell präparierte SOAP-Requests auf Dateien auf dem Server zugreifen, die nicht für die Öffentlichkeit bestimmt sind. Die Lücke lässt sich etwa durch Verweise auf file://-URLs oder Links ausnutzen, die auf localhost zeigen. Mit einem Update auf die Versionen 2.6.3, 2.5.4. und 2.7 werden die Schwachstellen behoben. Wer ältere Versionszweige nutzt, kann einen Patch anwenden.

Ein passender Exploit ist bereits im Umlauf. Mit den Patches soll Atlassian Crowd allerdings noch nicht vollständig abgesichert sein. Command Five verweist noch auf eine weitere Sicherheitslücke (CVE-2013-3926), die nicht authentifizierten Angreifern die volle Kontrolle jeglicher Crowd-Server ermöglicht. Atlassian entgegnete, dass dieser Hinweis bisher nicht geprüft werden konnte, da der Autor des Artikels die Entwickler bisher nicht kontaktiert habe und keine Details bekannt gab. (kbe)