Atlassian kämpft mit versehentlich publizierter Zero-Day-Lücke

5. Dezember 2019, 15:24
  • security
  • atlassian
image

Es gibt mehrere Möglichkeiten, eine Zero-Day-Lücke zu entdecken und zu publizieren.

Es gibt mehrere Möglichkeiten, eine Zero-Day-Lücke zu entdecken und zu publizieren. Der Security-Twitterer SwiftonSecurity hat eine neue gefunden: Man publiziert sie auf Twitter, ohne es zu merken.
Der harmlos wirkende erste Tweet- "Me: Threat-hunting rare DNS lookups in a corporate network. Confluence: verlinkte auf eine Google-Resultatseite mit einem verräterischen Link zum Confluence-Hersteller Atlassian.
Der Tweet und der Link weckten das Interesse des Google-Security-Forschers Travis Ormandy. Dieser fragte mit einem breiten Grinsen: "Hast du gemerkt, dass du soeben einen Zero-Day auf Twitter getan hast?" Worauf sich ein Sturm zusammenzubrauen begann, als SwiftonSecurity mit seinen 295'000 Followern zurückfragte: "Oh, echt jetzt?"
Der "Entdecker" erntete zum einen viel Spott, auch nachdem er die Lücke Atlassian gemeldet und sich für die gute Zusammenarbeit bedankt hatte. Zum andern machten sich die Security-Experten daran, Ormandys Aussage zu verifizieren und konnten dies auch.
Dies wiederum bringt Atlassian und Confluence-Kunden in Bedrängnis. Die Zeitung 'The Register', welche den Twitter-Sturm zuerst entdeckte, gelangte für Informationen an den Hersteller. Dieser erwiderte, man arbeite an der Lösung.
Die Lücke betrifft Zertifikate im Kontext der Atlassian Companion App, und hat inzwischen die Nummer CVE-2019-15006 erhalten. 'The Register' hat die Fakten zusammengefasst offenbaren. Oder, wie ein Security-Forscher belehrte: "Die besten Lücken findet man in den Dokumentationen. Und manchmal eine Lösung zur Schliessung." (mag)

Loading

Mehr zum Thema

image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022
image

70% der Schweizer Industriebetriebe Opfer von Cyberattacken

Eine Mitgliederbefragung des Branchenverbands Swissmem zeigt, dass mehr als Zweidrittel der Firmen mindestens einmal attackiert wurden, einzelne sogar mehr als 20-mal.

publiziert am 23.6.2022
image

Cloud-Anbieter wie Mega könnten Daten ihrer Kunden manipulieren

Ein ETH-Kryptografie-Team nahm die Verschlüsselung der Cloud Services des neuseeländischen Anbieters Mega unter die Lupe und fand gravierende Sicherheitslücken. Das dürfte kein Einzelfall sein.

publiziert am 23.6.2022
image

Mehrere kritische Datenschutzvorfälle im Kanton Zürich

Seit rund einem Jahr müssen Behörden im Kanton Zürich Datenschutzvorfälle melden. Die Datenschutzbeauftragte zieht eine erste Bilanz. Die Nutzung von Cloud-Angeboten wird kritisch gesehen.

publiziert am 22.6.2022