Atlassian kämpft mit versehentlich publizierter Zero-Day-Lücke

5. Dezember 2019, 15:24
  • security
  • atlassian
image

Es gibt mehrere Möglichkeiten, eine Zero-Day-Lücke zu entdecken und zu publizieren.

Es gibt mehrere Möglichkeiten, eine Zero-Day-Lücke zu entdecken und zu publizieren. Der Security-Twitterer SwiftonSecurity hat eine neue gefunden: Man publiziert sie auf Twitter, ohne es zu merken.
Der harmlos wirkende erste Tweet- "Me: Threat-hunting rare DNS lookups in a corporate network. Confluence: verlinkte auf eine Google-Resultatseite mit einem verräterischen Link zum Confluence-Hersteller Atlassian.
Der Tweet und der Link weckten das Interesse des Google-Security-Forschers Travis Ormandy. Dieser fragte mit einem breiten Grinsen: "Hast du gemerkt, dass du soeben einen Zero-Day auf Twitter getan hast?" Worauf sich ein Sturm zusammenzubrauen begann, als SwiftonSecurity mit seinen 295'000 Followern zurückfragte: "Oh, echt jetzt?"
Der "Entdecker" erntete zum einen viel Spott, auch nachdem er die Lücke Atlassian gemeldet und sich für die gute Zusammenarbeit bedankt hatte. Zum andern machten sich die Security-Experten daran, Ormandys Aussage zu verifizieren und konnten dies auch.
Dies wiederum bringt Atlassian und Confluence-Kunden in Bedrängnis. Die Zeitung 'The Register', welche den Twitter-Sturm zuerst entdeckte, gelangte für Informationen an den Hersteller. Dieser erwiderte, man arbeite an der Lösung.
Die Lücke betrifft Zertifikate im Kontext der Atlassian Companion App, und hat inzwischen die Nummer CVE-2019-15006 erhalten. 'The Register' hat die Fakten zusammengefasst offenbaren. Oder, wie ein Security-Forscher belehrte: "Die besten Lücken findet man in den Dokumentationen. Und manchmal eine Lösung zur Schliessung." (mag)

Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022
image

Studie: Jugendliche werden nachlässiger beim Datenschutz

Die Sorge, dass persönliche Informationen im Netz landen, hat bei Jugendlichen abgenommen. Aber erstens haben junge Menschen grössere Probleme im Netz und zweitens sind Erwachsene nicht besser.

publiziert am 24.11.2022 1