Faille de sécurité sur Crowd : comment la résoudre?


Publié par
Nathan CHANTRENNE

17 juillet 2013

Atlassian Crowd

Nous apprenons ce jour qu’une faille de sécurité importante a été détectée sur l’outil Atlassian Crowd.

Cette faille impacte toutes les versions Standalone antérieures à la 2.6.3 (sortie le 24 juin 2013 – corrigeant cette faille) et 2.5.4 exclue.

Vous trouverez l’ensemble des détails techniques dans ce rapport d’analyse produit par CommandFive. Cette faille peut être exploitée par n’importe qui ayant accès à l’API REST de Crowd, vous êtes donc particulièrement impacté si votre serveur Crowd est accessible par internet.

La demande JIRA en lien avec la correction de cette anomalie est référencée ici : https://jira.atlassian.com/browse/CWD-3366.

Pour corriger cette faille, vous pouvez :

  • Appliquer un patch de sécurité disponible à partir de Crowd 2.1.2 (procédure décrite dans le ticket Atlassian)
  • Effectuer une montée de version vers Crowd 2.5.4 ou 2.6.3 (obligatoire si vous utilisez une version antérieure à Crowd 2.1.2)

Pour toute question sur l’installation du patch vous pouvez contacter directement le support Atlassian via support.atlassian.com.