Abo
  • Services:

Atlassian: Sicherheitsprobleme bei Hipchat und im Confluence-Wiki

Für Confluence-Admins könnte es ein arbeitsreicher Tag werden: Hipchat-Nutzer sollen ihre Passwörter zurücksetzen und die Wiki-Software des Unternehmens braucht ein Update. Ansonsten können Angreifer alle Seiten des Wikis ohne Autorisierung einsehen.

Artikel veröffentlicht am ,
Wer das Confluence-Wiki nutzt, sollte patchen.
Wer das Confluence-Wiki nutzt, sollte patchen. (Bild: Atlassian)

Bei Atlassian ist es in den vergangenen Tagen offenbar zu mehreren Sicherheitsvorfällen gekommen. Alle Nutzer der Slack-Alternative Hipchat wurden aufgefordert, ein neues Passwort zu vergeben. Außerdem hat Atlassian Sicherheitslücken in der eigenen Wiki-Software Confluence gepatcht.

Stellenmarkt
  1. Schaeffler AG, Herzogenaurach
  2. Vector Informatik GmbH, Regensburg

Über den Hipchat-Sicherheitsvorfall teilt das Unternehmen nur wenig mit. In der Golem.de vorliegenden Mail schreibt Ganesh Kishnan, Chief Security Officer von Atlassian: "An diesem Wochenende hat unser Security-Intelligence-Team einen Vorfall entdeckt, der Hipchat.com betrifft und der zu einem unautorisierten Zugriff auf Nutzerdaten geführt haben könnte." Zu den potenziell betroffenen Informationen würden Nutzernamen, E-Mail-Adressen und gehashte Passwörter gehören. Hipchat nutzt für die Passwörter nach eigenen Angaben das als sicher geltende Hashverfahren Bcrypt und zusätzlich zufällige Salts.

In der nachfolgenden Untersuchung habe man keine Hinweise für Zugriff auf Finanz- oder Kreditkarteninformationen gefunden. Auch andere Produkte von Atlassian sollen von dem Vorfall nicht betroffen gewesen sein.

Sicherheitslücke in der Wiki-Software

Confluence hat außerdem ein Update für die Confluence-Wiki-Software freigegeben. Die Sicherheitslücke mit der CVE-2017-7415 betrifft alle Versionen seit 6.0.0. Nicht betroffen sind die Versionen 6.0.7 und 6.1.0. Ohne den Patch sollen Angreifer in der Lage sein, ohne Autorisierung alle Inhalte des Wikis einzusehen. Dazu müssen nur verschiedene IDs einzelner Seiten oder Drafts ausprobiert werden. Der Fehler lag in der Funktion Drafts Diff. Wer Atlassians Cloud-Dienste nutzt, muss nichts weiter tun, dort trat der Fehler nach Angaben des Herstellers nicht auf.

Wer derzeit kein Update auf die aktuelle Version durchführen kann, sollte zumindest die Funktion "Kollaboratives Bearbeiten" deaktivieren. Confluence hat dazu eine Anleitung veröffentlicht.



Anzeige
Spiele-Angebote
  1. 50,99€ mit Vorbesteller-Preisgarantie
  2. 9,99€
  3. 12,99€ + 1,99€ Versand oder Abholung im Markt
  4. 59,99€ mit Vorbesteller-Preisgarantie

Apfelbrot 26. Apr 2017

Bei uns bisher nur einmal weil der Chef der IT dachte er müsse mitten am Tag mal ganz...

Bluejanis 25. Apr 2017

Gut. Danke


Folgen Sie uns
       


Youtube Music - angeschaut

Wir haben uns das neue Youtube Music angeschaut. Davon gibt es eine kostenlose Version mit Werbeeinblendungen und zwei Abomodelle. Youtube Music Premium ist quasi der Nachfolger von Googles Play Musik. Das Monatsabo für Youtube Music Premium kostet 9,99 Euro.

Youtube Music - angeschaut Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Künstliche Intelligenz Vages wagen
  2. KI Mit Machine Learning neue chemische Reaktionen herausfinden
  3. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

    •  /