Atlassian: Sicherheitsprobleme bei Hipchat und im Confluence-Wiki

Für Confluence-Admins könnte es ein arbeitsreicher Tag werden: Hipchat-Nutzer sollen ihre Passwörter zurücksetzen und die Wiki-Software des Unternehmens braucht ein Update. Ansonsten können Angreifer alle Seiten des Wikis ohne Autorisierung einsehen.

Artikel veröffentlicht am ,
Wer das Confluence-Wiki nutzt, sollte patchen.
Wer das Confluence-Wiki nutzt, sollte patchen. (Bild: Atlassian)

Bei Atlassian ist es in den vergangenen Tagen offenbar zu mehreren Sicherheitsvorfällen gekommen. Alle Nutzer der Slack-Alternative Hipchat wurden aufgefordert, ein neues Passwort zu vergeben. Außerdem hat Atlassian Sicherheitslücken in der eigenen Wiki-Software Confluence gepatcht.

Stellenmarkt
  1. IT-Administrator (m/w/d) im Bereich ERP mit PHP-Skills
    EBB Truck-Center GmbH, Baden-Baden
  2. SAP WM/EWM Berater (m/w/x)
    über duerenhoff GmbH, Frankfurt am Main
Detailsuche

Über den Hipchat-Sicherheitsvorfall teilt das Unternehmen nur wenig mit. In der Golem.de vorliegenden Mail schreibt Ganesh Kishnan, Chief Security Officer von Atlassian: "An diesem Wochenende hat unser Security-Intelligence-Team einen Vorfall entdeckt, der Hipchat.com betrifft und der zu einem unautorisierten Zugriff auf Nutzerdaten geführt haben könnte." Zu den potenziell betroffenen Informationen würden Nutzernamen, E-Mail-Adressen und gehashte Passwörter gehören. Hipchat nutzt für die Passwörter nach eigenen Angaben das als sicher geltende Hashverfahren Bcrypt und zusätzlich zufällige Salts.

In der nachfolgenden Untersuchung habe man keine Hinweise für Zugriff auf Finanz- oder Kreditkarteninformationen gefunden. Auch andere Produkte von Atlassian sollen von dem Vorfall nicht betroffen gewesen sein.

Sicherheitslücke in der Wiki-Software

Confluence hat außerdem ein Update für die Confluence-Wiki-Software freigegeben. Die Sicherheitslücke mit der CVE-2017-7415 betrifft alle Versionen seit 6.0.0. Nicht betroffen sind die Versionen 6.0.7 und 6.1.0. Ohne den Patch sollen Angreifer in der Lage sein, ohne Autorisierung alle Inhalte des Wikis einzusehen. Dazu müssen nur verschiedene IDs einzelner Seiten oder Drafts ausprobiert werden. Der Fehler lag in der Funktion Drafts Diff. Wer Atlassians Cloud-Dienste nutzt, muss nichts weiter tun, dort trat der Fehler nach Angaben des Herstellers nicht auf.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Wer derzeit kein Update auf die aktuelle Version durchführen kann, sollte zumindest die Funktion "Kollaboratives Bearbeiten" deaktivieren. Confluence hat dazu eine Anleitung veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Von Cubesats zu Disksats
Satelliten als fliegende Scheiben

Leichte und billige Satelliten, die auch zu Mond und Mars fliegen können: Aerospace Corp hat den neuen Standardformfaktor Disksats entwickelt.
Von Frank Wunderlich-Pfeiffer

Von Cubesats zu Disksats: Satelliten als fliegende Scheiben
Artikel
  1. Full Self Driving: Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen
    Full Self Driving
    Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen

    Die Testversion des Full-Self-Driving-Pakets sollen nur Tesla-Fahrer nutzen dürfen, deren Fahrverhalten einwandfrei ist.

  2. Umweltfreundlicher Sattelschlepper: Iveco und Nikola starten E-Lastwagen-Produktion in Ulm
    Umweltfreundlicher Sattelschlepper
    Iveco und Nikola starten E-Lastwagen-Produktion in Ulm

    Die Nikola-Zugmaschine Tre mit Elektroantrieb soll zunächst für den US-Markt gefertigt werden, später auch für Europa.

  3. Echtzeit-Strategie: Age of Empires 4 braucht nicht die schnellste Hardware
    Echtzeit-Strategie
    Age of Empires 4 braucht nicht die schnellste Hardware

    Die vollständigen Specs für den Technik-Test von Age of Empires 4 liegen vor. Spieler können ab heute Abend in die Historie eintauchen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance LPX DDR4-3200 16 GB 63,74€ und 32 GB 108,79€ • Alternate (u. a. Creative SB Z SE 71,98€, Kingston KC2500 2 TB 181,89€ und Recaro Exo Platinum 855,99€) • Breaking Deals mit Club-Rabatten • ASUS ROG Crosshair VIII Hero WiFi 269,99€ • iPhone 13 vorbestellbar [Werbung]
    •  /