Atlassian: Löcher bei HipChat und Confluence

Gleich zwei Atlassian-Produkte geben Admins Arbeit: Da wäre erstens HipChat. Laut einem Blogpost von HipChat könnte es Unbekannten letztes Wochenende gelungen sein, sich unauthorisiert Zugang zu verschaffen. Zu den eventuell betroffenen Daten könnten User-Namen, E-Mail-Adressen und gehashte Passwörter gehören.
 
Es sei aber in weniger als 0,05 Prozent der Instanzen, Nachrichten und Content ein Zugriff zu befürchten, will HipChat beruhigen. Man habe auch keine Indizien, dass Finanzinformationen oder Kreditkarten-Infos abgegriffen worden seien.
 
Die Lücke sei in einer "populären Library von Drittparteien" zu finden. Doch man arbeite an einem Update.
 
HipChat nutzt für die Passwörter nach eigenen Angaben als kryptologisches Hashverfahren Bcrypt und zusätzlich zufällige Salts. Dies gilt, wenn richtig konfiguriert, nach übereinstimmenden Aussagen als vergleichsweise sehr sicher.
 
Atlassian schreibt, weitere Produkte wie Jira, BitBucket und Trello seien nicht betroffen.
 
Wichtiger Patch für Confluence
Auch auf Confluence-Admins könnte je nachdem Arbeit warten, meldet 'Golem.de'.
 
Confluence ist betroffen von einer Sicherheitslücke, CVE-2017-7415, meldet Atlassian. Die Lücke wird als sehr ernst bezeichnet und betrifft Versionen bis und mit 6.06, welche nicht in Atlassian-Cloud-Instanzen laufen.
 
Ein Update sei sofort nötig, denn Aussenstehende könnten aktuell ohne Autorisierung alle Inhalte des Wikis einsehen. Alle Confluence-Versionen mit und ab 6.07 seien nicht betroffen.
 
Es wird von Atlassian empfohlen, ein Upgrade auf mindestens Version 6.07 durchzuführen, besser auf 6.1.0 oder höher. (mag)