1. #1
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    5.213
    Thanked 8.981 Times in 2.886 Posts
    Blog Entries
    5

    Standard Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?

    Atlassian hat sich vor allem in der IT einen Namen gemacht: Softwareprodukte wie Jira und Confluence gelten als Marktführer in ihrem jeweiligen Gebiet. Mittlerweile werden die Werkzeuge auch zunehmend in anderen Bereichen eingesetzt. Seit einigen Monaten steht der Konzern jedoch immer wieder mit Sicherheitslücken in den Schlagzeilen. Oft sind es schwerwiegende Fehler, die es Angreifern ermöglichen, Code auf dem Server auszuführen - etwa für Kryptomining und teils auch schlimmeres. Ich beobachte die Lage seit einigen Monaten und habe diesen Trend analysiert: Entwickelt Atlassian unsichere Software oder was läuft bei diesem Konzern schief? Alle Infos mit Quellen findet ihr in diesem Beitrag.





  2. #2
    Avatar von U-Labs YouTube
    Registriert seit
    30.09.2021
    Beiträge
    466
    Thanked 11 Times in 10 Posts

    Standard AW: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?

    Eine Datenbank die man nicht braucht sollte eigentlich keine Lücke sein, da muss man schon extrem schludern um das hinzubekommen. Ich behaupte das jetzt mal so obwohl ich das System nicht kenne. Was Du sonst beschreibst ist Haarsträubend und grenzt an Kundenverarschung, das findet leider immer statt wenn dem Vertrieb mehr Beachtung als dem Produkt selbst zukommt.

    Kommentar von Andre ABC.

    - - - Aktualisiert - - -

    Fehler, die vor sich hergetragen werden und zugunsten von neuen Features nicht behoben werden, gibt es leider durchgängig. Dies ist hoffentlich ein extremer Einzelfall.

    Microsoft mit dem Exchange Server ist vermutlich ein ähnlicher Fall, da die Update Prozedur scheinbar so eigenwillig ist und auch nicht verändert wird, dass viele Administratoren scheinbar gar keine Updates einspielen, was vor ein oder zwei Jahren zu dem "kleinen Problem" geführt hat, dass Administratoren lange aufgeschobene Updates nun doch durchführen mussten, damit vermutlich auch ein Risiko für die Installation oder sogar die Daten riskiert haben, um das allerletzte Update mit dem Patch einspielen zu können. Bei der Marktmacht von Microsoft ist das vermutlich relevanter.

    Kommentar von wolfgang gosejacob.

  3. #3
    Avatar von DMW007
    Registriert seit
    15.11.2011
    Beiträge
    5.213
    Thanked 8.981 Times in 2.886 Posts
    Blog Entries
    5

    Standard AW: Sicherheitslücken bei Atlassian analysiert: Wie unsicher sind Jira, Confluence, Bitbucket & co?

    Bei Sicherheitslücken hat das halt schon noch mal eine andere Brisanz. Das Problem mit dem langsamen Einspielen von Updates wird an mehreren Dingen liegen: Schadsoftware tut erst seit ein paar Jahren mit Ransomware und Konsorten so richtig und großflächig weh. Auf der anderen Seite ist gerade bei Microsoft die Qualität der Updates vor allem in den Anfangszeiten von Windows 10 mehr als Unterirdisch gewesen. Da kam es durchaus vor, dass Systeme nach dem Patchen gar nicht mehr gestartet haben. Oder sie hatten mal einen Fehler drin, der private Daten löscht, wenn der Nutzer die Pfade der Bibliotheken auf einen anderen Datenträger (z.B. Festplatte auf D oder einer anderen Partition geändert hatte. Mittlerweile ist es nicht mehr ganz so katastrophal. Aber es kommt immer noch öfter vor, dass bestimmte Dinge kaputt gepatcht werden. Ein aktuelles Dauerthema sind z.B. Drucker, die seit ungefähr zwei Jahren nach Windows Updates immer wieder fehlerhaft oder gar nicht mehr funktionieren.

    Windows Administratoren haben dadurch also gelernt, vor Updates Angst zu haben. Du willst nicht zig wütende Nutzer haben, bei denen danach was nicht mehr geht, zu denen sich dann auch schnell ein wütender Chef gesellt. Also überlegen die sich zweimal, ob sie Updates ausrollen. Dazu haben sich Prozesse etabliert, die neue Updates erst mal ausführlich testen. Dadurch werden die locker ein paar Wochen verzögert ausgerollt. Wenn der Admin dann noch überlastet ist, werden schnell einige Monate daraus. Vor allem wenn sie glauben, dass ihr Unternehmen ja eh uninteressant für Angreifer sei. Sozusagen die "Ich habe nichts zu Verbergen" Fraktion an der Stelle. Bei steigenden Angriffen ist das keine gute Kombination.

    Zuletzt hat Microsoft sich aber selbst bei denen die Updates schnell einspielen wollen ziemlich blamiert: Im September wurde eine Sicherheitslücke in Exchange bekannt. Man konnte aus der Ferne Code ausführen, also auch ein Totalschaden. MS hatte keinen Fix, im Blog wurde ein Workaround mit eine IIS ReWrite-Regel gezeigt. Die sollte verwundbare URLs zumindest von außen nicht mehr erreichbar machen. Dummerweise stellte sich heraus, dass diese Regel fehlerhaft war und der Angriff mit leichten Modifikationen dennoch funktionierte. Und das nicht nur einmal, die haben ihre IIS Regel mehrfach nachgebessert. Insgesamt etwa 4 mal, ich habe irgendwann aufgehört mitzuzählen. Vor einigen Tagen kam dann ein Update zum Patchday, dass die Schwachstelle korrigiert. Das war eine Aktion, die Atlassian in nichts nachsteht und bei der ich ebenfalls hinterfrage, wie man so was für teuer Geld kauft, um da kritische Unternehmensdaten anzulegen sowie als Einfallstor zu dienen, um ggf. das gesamte Unternehmensnetz zu kompromittieren. Mit solchem Verhalten trägt MS weit mehr zum Problem bei, als zu dessen Lösung.


Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 29.01.2022, 00:56
  2. BND will Sicherheitslücken kaufen
    Von DMW007 im Forum IT & Technik News
    Antworten: 16
    Letzter Beitrag: 06.05.2020, 21:11
  3. Whatsapp - Sicherheitslücken
    Von Hawkeye815 im Forum Windows Mobile
    Antworten: 7
    Letzter Beitrag: 12.11.2013, 20:34
  4. Firefox Plugin unsicher - Anzeige ausschalten?
    Von ElkosMED im Forum Software
    Antworten: 1
    Letzter Beitrag: 30.01.2013, 18:55
  5. If Typ 2 unsicher
    Von Xin Zhao im Forum Bildung
    Antworten: 0
    Letzter Beitrag: 17.06.2012, 23:55
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.