关键信息 漏洞描述 漏洞名称: Secure Login security advisory - Insecure default configuration 发布日期: 2024-09-16 严重性: Medium 受影响版本: - Secure Login (2FA) - Jira <= 3.1.4.5 - Secure Login (2FA) - Confluence <= 3.1.4.5 - Secure Login (2FA) - Bitbucket <= 3.1.4.5 修复版本: To be announced 漏洞细节 1. Unsecure default TOTP configuration - 在默认配置中,Time Window Size 设置为 30。这意味着最后 30 和接下来的 30 个令牌是有效的。默认时间步长为 30 秒,可以使用一个 15 分钟前的令牌。结合默认配置中的无激活的暴力攻击检测,这可能使暴力攻击成为可能。 - 根据内部安全顾问的计算,此漏洞的 CVSS 分数为 3.1,这意味着中等严重性。 2. Unsecure default whitelist - 在默认配置中,URL 端点 和 被允许。默认情况下,REST 服务仅依赖用户名和密码。允许列出 REST 服务确保其他系统仍然能够与您的 Atlassian 实例通信,因为没有可靠的方式在机器到机器通信中包含 2FA。 - 客户必须意识到,只要这两个端点被允许,就有可能通过 REST 或通过访问附件仅使用用户名和密码访问敏感信息。这两个端点在默认配置中未受 MFA 保护。 - 根据内部安全顾问的计算,此漏洞的 CVSS 分数为 5.1,这意味着中等严重性。 解决方案 基于 CIS Critical Security Controls 定义,不安全或不理想的默认配置代表安全漏洞。我们正在研究可能的修复方案。要么是 Secure Login 的下一个版本将提供自定义的、更严格的基本配置,要么我们将完全放弃基本配置并将其留给客户。我们将根据补丁说明通知您。 请注意,我们不会自动调整现有客户配置。 需要采取的行动 确保配置是您作为客户的职责。应用程序只能在您的配置允许的情况下保护您的系统,以及基础系统。此外,MFA 不是其他安全措施(如入侵检测)的替代品。 支持 如果您对本公告有任何问题或疑虑,请通过我们的服务台提出支持请求。 其他信息 发布者: Alexander Küken 最后更新: 2024-09-17 阅读时间: 3 分钟