Melde eine Schwachstelle


Auf allgemeine Berichte, die mithilfe von automatisierten Scannern generiert wurden, können wir leider nicht antworten. Wenn du mithilfe eines automatisierten Scanners auf ein vermeintliches Sicherheitsproblem stößt, lasse dies bitte durch einen Sicherheitsexperten überprüfen und bestätigen, bevor du einen Schwachstellenbericht an Atlassian sendest.

Wenn du glaubst, auf ein Sicherheitsproblem gestoßen zu sein, das die von Atlassian festgelegte Definition einer Schwachstelle erfüllt, informiere bitte unser Sicherheitsteam über einen der folgenden Wege:

Du bist Kunde:

Du bist Sicherheitsforscher:

Nur wenn du die Schwachstelle über unser Bug-Bounty-Programm meldest, kannst du eine Prämie für den gefundenen Bug erhalten.

Dein Bericht muss folgende Informationen enthalten:

  • Art des Problems (Cross-Site Scripting, SQL Injection, Remote-Code-Ausführung usw.)
  • Produkt und Version, bei denen der Bug auftritt, oder eine URL, wenn es sich um einen Cloud-Service handelt
  • Eine Beschreibung der möglichen Auswirkungen der Schwachstelle (z. B. welche Daten können abgerufen oder verändert werden?)
  • Eine Schritt-für-Schritt-Anleitung, um das Problem nachzuvollziehen
  • Etwaiger Proof-of-Concept- oder Exploit-Code, der zur Reproduktion des Problems benötigt wird

Wenn du deine Einsendung mit unserem PGP-Schlüssel verschlüsseln möchtest, kannst du ihn hier herunterladen.

Was genau ist eine Schwachstelle – unsere Definition

Atlassian definiert eine Schwachstelle als eine Sicherheitslücke in einem unserer Produkte oder in unserer Infrastruktur, die es Angreifern ermöglicht, die Vertraulichkeit, Integrität oder Verfügbarkeit des Produkts oder der Infrastruktur zu kompromittieren.

Folgendes betrachten wir nicht als Sicherheitsschwachstelle:

  • Das Vorhandensein oder Fehlen von HTTP-Headern (X-Frame-Options, CSP, nosniff usw.). Hierbei handelt es sich um Sicherheitsempfehlungen, nicht um Schwachstellen.
  • Das Fehlen von Sicherheitsattributen bei nicht sicherheitsrelevanten Cookies.Die Produkte von Atlassian können bestimmte Sicherheitsattribute für die Cookies festlegen, die wir in unseren Anwendungen nutzen. Das Fehlen dieser Header bei nicht sicherheitsrelevanten Cookies stellt jedoch keine Sicherheitsschwachstelle dar.
  • Exponierte Stack-Traces. Stack-Traces alleine stellen noch kein Sicherheitsproblem dar. Wenn du in einem Stack-Trace personenbezogene Daten oder benutzergenerierte Inhalte findest, sende uns bitte einen Bericht mit einer Problembeschreibung.
  • Content Spoofing durch Benutzer mit Administratorrechten. In bestimmten Bereichen unserer Produkte lassen wir HTML-Injection für kundenspezifische Anpassungen durch Administratoren zu und betrachten dies daher nicht als Schwachstelle.
  • Clickjacking auf Seiten mit ausschließlich statischen Inhalten oder Seiten, die sich in Jira Server befinden. Weitere Informationen dazu findest du auf https://jira.atlassian.com/browse/JRASERVER-25143.
  • Auto-Vervollständigen aktiviert oder deaktiviert

Bug-Bounty-Programm

Atlassian hat sich mit Bugcrowd zusammengetan, um ein öffentliches Bug-Bounty-Programm für unsere Produkte anzubieten. Sicherheitsforscher, die eine nachweisliche Schwachstelle über unsere Bug-Bounty-Programme melden, erhalten im Gegenzug eine Geldprämie.

Offenlegung

Atlassian ist es ein großes Anliegen, jegliche Sicherheitsschwachstellen in unseren Produkten innerhalb der Fristen zu beseitigen, die wir in unserer Richtlinie zur Behebung von Sicherheits-Bugs festgelegt haben. Atlassian folgt bei der Offenlegung und der Bearbeitung von Anfragen bezüglich Schwachstellen einem koordinierten Prozess, um unsere Kunden zu schützen, und erwartet dasselbe von jedem, der uns eine potenzielle Schwachstelle meldet.