Schwachstellen in ScrumWorks Basic Server

Mehrere Schwachstellen im ScrumWorks Basic Server lassen sich zum Ausspähen von Zugangsdaten ausnutzen. So werden etwa Name und Passwort zum Server per Klartext übertragen und zudem auf der Server-Seite im Klartext abgespeichert. Beide Lücken sind in einem CVE-Eintrag dokumentiert; unter anderem hat das US-CERT einen Hinweis darauf veröffentlicht. ScrumWorks stellt Hilfsmittel für Agiles Programmieren zur Verfügung.

Nach Angaben des Entdeckers der Lücken David Elze fehlt allerdings eine weitere, von ihm ebenfalls dokumentierte Lücke in der Beschreibung des CVE-Eintrags. So lässt sich über die Team-Manager-Funktion des ScrumWorks-Client der Server dazu bringen, die gesamte Liste von Benutzern nebst Passwörtern als ein komprimiertes, unverschlüsseltes Java-Objekt an den Client zu senden. Warum das Problem im offiziellen CVE-Eintrag nicht zu finden ist, konnte Elze auf Anfrage von heise Security nicht beantworten. In seiner eingereichten Beschreibung sei es sehr deutlich formuliert gewesen.

Der ScrumWorks Pro Server weist die Probleme nicht auf und antwortet nach Angaben von Elze nur mit Hashes (mit Salt). In diese Richtung geht offenbar auch die offizielle Herstellerlösung des Problems. Gegenüber dem US-CERT hat der Hersteller CollabNet angegeben, die unverschlüsselte Übertragung und Speicherung in der Basic-Version beizubehalten. Stattdessen schlägt er den Wechsel auf die kostenpflichtige Version ScrumWorks Pro vor oder die Netzwerkinfrastruktur besser vor Zugriffen durch Umbefugte zu sichern. (dab)