Abo
  • Services:

Atlassian: Sicherheitsprobleme bei Hipchat und im Confluence-Wiki

Für Confluence-Admins könnte es ein arbeitsreicher Tag werden: Hipchat-Nutzer sollen ihre Passwörter zurücksetzen und die Wiki-Software des Unternehmens braucht ein Update. Ansonsten können Angreifer alle Seiten des Wikis ohne Autorisierung einsehen.

Artikel veröffentlicht am ,
Wer das Confluence-Wiki nutzt, sollte patchen.
Wer das Confluence-Wiki nutzt, sollte patchen. (Bild: Atlassian)

Bei Atlassian ist es in den vergangenen Tagen offenbar zu mehreren Sicherheitsvorfällen gekommen. Alle Nutzer der Slack-Alternative Hipchat wurden aufgefordert, ein neues Passwort zu vergeben. Außerdem hat Atlassian Sicherheitslücken in der eigenen Wiki-Software Confluence gepatcht.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Über den Hipchat-Sicherheitsvorfall teilt das Unternehmen nur wenig mit. In der Golem.de vorliegenden Mail schreibt Ganesh Kishnan, Chief Security Officer von Atlassian: "An diesem Wochenende hat unser Security-Intelligence-Team einen Vorfall entdeckt, der Hipchat.com betrifft und der zu einem unautorisierten Zugriff auf Nutzerdaten geführt haben könnte." Zu den potenziell betroffenen Informationen würden Nutzernamen, E-Mail-Adressen und gehashte Passwörter gehören. Hipchat nutzt für die Passwörter nach eigenen Angaben das als sicher geltende Hashverfahren Bcrypt und zusätzlich zufällige Salts.

In der nachfolgenden Untersuchung habe man keine Hinweise für Zugriff auf Finanz- oder Kreditkarteninformationen gefunden. Auch andere Produkte von Atlassian sollen von dem Vorfall nicht betroffen gewesen sein.

Sicherheitslücke in der Wiki-Software

Confluence hat außerdem ein Update für die Confluence-Wiki-Software freigegeben. Die Sicherheitslücke mit der CVE-2017-7415 betrifft alle Versionen seit 6.0.0. Nicht betroffen sind die Versionen 6.0.7 und 6.1.0. Ohne den Patch sollen Angreifer in der Lage sein, ohne Autorisierung alle Inhalte des Wikis einzusehen. Dazu müssen nur verschiedene IDs einzelner Seiten oder Drafts ausprobiert werden. Der Fehler lag in der Funktion Drafts Diff. Wer Atlassians Cloud-Dienste nutzt, muss nichts weiter tun, dort trat der Fehler nach Angaben des Herstellers nicht auf.

Wer derzeit kein Update auf die aktuelle Version durchführen kann, sollte zumindest die Funktion "Kollaboratives Bearbeiten" deaktivieren. Confluence hat dazu eine Anleitung veröffentlicht.



Anzeige
Spiele-Angebote
  1. 24,99€
  2. 19,99€
  3. 42,49€
  4. 2,49€

Apfelbrot 26. Apr 2017

Bei uns bisher nur einmal weil der Chef der IT dachte er müsse mitten am Tag mal ganz...

Bluejanis 25. Apr 2017

Gut. Danke


Folgen Sie uns
       


Probefahrt mit dem Audi E-Tron - Bericht

Golem.de hat den neuen Audi E-Tron auf einem Ausflug in die Wüste von Abu Dhabi getestet.

Probefahrt mit dem Audi E-Tron - Bericht Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
    Sony-Kopfhörer WH-1000XM3 im Test
    Eine Oase der Stille oder des puren Musikgenusses

    Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
    Ein Test von Ingo Pakalski


      Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
      Drahtlos-Headsets im Test
      Ohne Kabel spielt sich's angenehmer

      Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
      Ein Test von Oliver Nickel

      1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
      2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
      3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

        •  /