.gif)
pemoyr
Опытный user
- Регистрация
- 17 Окт 2019
- Сообщения
- 125
- Реакции
- 1
В профиле SwiftOnSecurity в Twitter была размещена информация о неизвестной до этого уязвимости в товаре фирмы Atlassian. По информации из поста, для того чтобы программа Atlassian Companion смогла изменять файлы в выбранном локальном приложении и сохранять их в хранилище Confluence Cloud, применяется домен, разрешаемый до локального сервера с простым SSL-сертификатом для Confluence.
Confluence подключается к своему сопроводительному приложению через браузер с помощью домена https://atlassian-domain-for-localhost-connections-only.com.
Ошибка кроется в том, что любой человек, владеющий некоторыми нужными знаниями, способен скопировать ключ SSL и провести с его помощью атаку «человек посередине», а также переадресовывать трафик программы на подставной сайт.
Инженер безопасности Google Тэвиса Орманди (Tavis Ormandy) сообщил, что целью для атаки может быть любой пользователь программы.
«Вы просто можете скопировать ключ, и ничего не помешает вам открыть этот домен для чего-либо ещё кроме localhost. Исходя из этого, не существует гарантий, что вы подсоединяетесь именно к официальному локальному, а не подставному сервису», - объяснил он.
Уязвимость получила идентификатор CVE-2019-15006. SwiftOnSecurity сообщил Atlassian об уязвимости, и в данный момент разработчики трудятся над её устранением.
Confluence подключается к своему сопроводительному приложению через браузер с помощью домена https://atlassian-domain-for-localhost-connections-only.com.
Ошибка кроется в том, что любой человек, владеющий некоторыми нужными знаниями, способен скопировать ключ SSL и провести с его помощью атаку «человек посередине», а также переадресовывать трафик программы на подставной сайт.
Инженер безопасности Google Тэвиса Орманди (Tavis Ormandy) сообщил, что целью для атаки может быть любой пользователь программы.
«Вы просто можете скопировать ключ, и ничего не помешает вам открыть этот домен для чего-либо ещё кроме localhost. Исходя из этого, не существует гарантий, что вы подсоединяетесь именно к официальному локальному, а не подставному сервису», - объяснил он.
Уязвимость получила идентификатор CVE-2019-15006. SwiftOnSecurity сообщил Atlassian об уязвимости, и в данный момент разработчики трудятся над её устранением.
