Melde eine Schwachstelle
Wenn du glaubst, auf ein Sicherheitsproblem gestoßen zu sein, das die von Atlassian festgelegte Definition einer Schwachstelle erfüllt, informiere bitte unser Sicherheitsteam über einen der folgenden Wege:
Auf allgemeine Berichte, die mithilfe von automatisierten Scannern generiert wurden, können wir leider nicht antworten. Wenn du mithilfe eines automatisierten Scanners auf ein vermeintliches Sicherheitsproblem stößt, lasse dies bitte durch einen Sicherheitsexperten überprüfen und bestätigen, bevor du einen Schwachstellenbericht an Atlassian sendest.
Du bist Kunde:
- Sende ein Ticket an unser Supportteam.
Du bist Sicherheitsforscher:
- Sende uns einen Bericht über unser Bug-Bounty-Programm. Oder
- Sende eine E-Mail an security@atlassian.com.
Nur wenn du die Schwachstelle über unser Bug-Bounty-Programm meldest, kannst du eine Prämie für den gefundenen Bug erhalten.
Dein Bericht muss folgende Informationen enthalten:
- Art des Problems (Cross-Site Scripting, SQL Injection, Remote-Code-Ausführung usw.)
- Produkt und Version, bei denen der Bug auftritt, oder eine URL, wenn es sich um einen Cloud-Service handelt
- Eine Beschreibung der möglichen Auswirkungen der Schwachstelle (z. B. welche Daten können abgerufen oder verändert werden?)
- Eine Schritt-für-Schritt-Anleitung, um das Problem nachzuvollziehen
- Etwaiger Proof-of-Concept- oder Exploit-Code, der zur Reproduktion des Problems benötigt wird
Wenn du deine Einsendung mit unserem PGP-Schlüssel verschlüsseln möchtest, kannst du ihn hier herunterladen.
Was genau ist eine Schwachstelle – unsere Definition
Atlassian definiert eine Schwachstelle als eine Sicherheitslücke in einem unserer Produkte oder in unserer Infrastruktur, die es Angreifern ermöglicht, die Vertraulichkeit, Integrität oder Verfügbarkeit des Produkts oder der Infrastruktur zu kompromittieren.
Folgendes betrachten wir nicht als Sicherheitsschwachstelle:
- Das Vorhandensein oder Fehlen von HTTP-Headern (X-Frame-Options, CSP, nosniff usw.). Hierbei handelt es sich um Sicherheitsempfehlungen, nicht um Schwachstellen.
- Das Fehlen von Sicherheitsattributen bei nicht sicherheitsrelevanten Cookies.Die Produkte von Atlassian können bestimmte Sicherheitsattribute für die Cookies festlegen, die wir in unseren Anwendungen nutzen. Das Fehlen dieser Header bei nicht sicherheitsrelevanten Cookies stellt jedoch keine Sicherheitsschwachstelle dar.
- Exponierte Stack-Traces. Stack-Traces alleine stellen noch kein Sicherheitsproblem dar. Wenn du in einem Stack-Trace personenbezogene Daten oder benutzergenerierte Inhalte findest, sende uns bitte einen Bericht mit einer Problembeschreibung.
- Content Spoofing durch Benutzer mit Administratorrechten. In bestimmten Bereichen unserer Produkte lassen wir HTML-Injection für kundenspezifische Anpassungen durch Administratoren zu und betrachten dies daher nicht als Schwachstelle.
- Clickjacking auf Seiten mit ausschließlich statischen Inhalten oder Seiten, die sich in Jira Server befinden. Weitere Informationen dazu findest du auf https://jira.atlassian.com/browse/JRASERVER-25143.
- Auto-Vervollständigen aktiviert oder deaktiviert
Offenlegung
Einer der Unternehmenswerte von Atlassian lautet "Offene Unternehmenskultur – kein Bullsh**" und wir sind der Meinung, dass die Offenlegung von Schwachstellen zu diesem Wert dazugehört. Wir halten uns an die Service Level Objectives zur Behebung von Sicherheitsfehlern, die du hier findest, und akzeptieren Offenlegungsanfragen im Rahmen des Bug-Bounty-Programms, nachdem das Problem behoben und der Fix in der Produktion veröffentlicht wurde. Wenn der Bericht jedoch Informationen zu Instanzen oder Daten von Kunden enthält, wird die Anfrage abgelehnt. Wir bitten dich, uns eine angemessene Frist zu geben und zu warten, bis das relevante SLO abgelaufen ist. Bitte beachte, dass wir keine Prämien für Einsendungen per E-Mail anbieten. Unser Bug-Bounty-Programm findest du hier.
Safe Harbour
Schwachstellenforschung gemäß dieser Richtlinie betrachten wir als:
- autorisiert gemäß dem Computer Fraud and Abuse Act (CFAA) (und/oder ähnlichen staatlichen Gesetzen), und wir werden keine rechtlichen Schritte gegen dich wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen;
- ausgenommen vom Digital Millennium Copyright Act (DMCA), und wir werden keine Klage gegen dich wegen Umgehung von Technologiekontrollen erheben;
- ausgenommen von den Einschränkungen in unseren Nutzungsbedingungen, die die Durchführung von Sicherheitsuntersuchungen beeinträchtigen würden, und wir verzichten in begrenztem Umfang auf diese Einschränkungen für Arbeiten, die im Rahmen dieser Richtlinie geleistet werden; und
- rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.
Wie immer musst du dich an alle geltenden Gesetze halten.
Wenn du zu irgendeinem Zeitpunkt Bedenken hast oder unsicher bist, ob deine Sicherheitsforschung mit dieser Richtlinie übereinstimmt, kontaktiere uns bitte unter security@atlassian.com und wir beantworten deine Fragen gerne.
Bug-Bounty-Programm
Atlassian hat sich mit Bugcrowd zusammengetan, um ein öffentliches Bug-Bounty-Programm für unsere Produkte anzubieten. Sicherheitsforscher, die eine nachweisliche Schwachstelle über unsere Bug-Bounty-Programme melden, erhalten im Gegenzug eine Geldprämie.
Offenlegung
Atlassian ist es ein großes Anliegen, jegliche Sicherheitsschwachstellen in unseren Produkten innerhalb der Fristen zu beseitigen, die wir in unserer Richtlinie zur Behebung von Sicherheits-Bugs festgelegt haben. Atlassian folgt bei der Offenlegung und der Bearbeitung von Anfragen bezüglich Schwachstellen einem koordinierten Prozess, um unsere Kunden zu schützen, und erwartet dasselbe von jedem, der uns eine potenzielle Schwachstelle meldet.