-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden met betrekking tot Unicode verholpen
Advisory ID     : NCSC-2021-0957
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2021-42574, CVE-2021-42694
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : medium
                  Omzeilen van beveiligingsmaatregel
Uitgiftedatum   : 20211102
Toepassing      : Atlassian Bamboo
                  Atlassian Bitbucket (vroeger Stash)
                  Atlassian Confluence
                  Atlassian Crucible
                  Atlassian JIRA
Versie(s)       :
Platform(s)     : Red Hat Enterprise Linux

Beschrijving
   Onderzoekers van de universiteiten van Cambridge en Edinburgh hebben
   aanvalsmethoden ontwikkeld voor het compromitteren van (open-source)
   software. Daarbij wordt misbruik gemaakt van Unicode control
   characters. Door in broncode op tactische plekken control characters
   te plaatsen, wordt broncode aan een ontwikkelaar weergegeven alsof
   het commentaar is of vice versa. Een kwaadwillende kan dit principe
   misbruiken om malafide code in de broncode van een applicatie te
   verbergen. Een ontwikkelaar die de code van de kwaadwillende
   tegenleest kan de malafide functionaliteit van die code daardoor
   eenvoudig over het hoofd zien.

   Naast misbruik van control characters hebben de onderzoekers een
   soortgelijke aanvalsmethode gevonden waarbij misbruik wordt gemaakt
   van het gegeven dat binnen de Unicode-tekenset bepaalde tekens veel
   op elkaar lijken. Dergelijke tekens worden ookwel homogliefen
   genoemd. Een kwaadwillende kan hiervan misbruik maken door een
   letter in een functienaam of variabele te vervangen door een
   homoglief, en de aangepaste naam vervolgens te laten verwijzen naar
   bijvoorbeeld malafide code. Door de gelijkenis in weergave van de
   twee homogliefen is het voor een ontwikkelaar die de code tegenleest
   lastig om te zien dat het om malafide code gaat.

   Voor beide aanvallen is Proof-of-Concept-code gepubliceerd.

   Een paper over de aanvallen is op de volgende website beschikbaar:

   https://trojansource.codes/

Mogelijke oplossingen
   -= Atlassian =-
   Atlassian heeft voor meerdere producten updates uitgebracht om de
   kwetsbaarheid met kenmerk cve-2021-42574 te verhelpen. Meer
   informatie kunt u vinden op onderstaande pagina:

   https://confluence.atlassian.com/security
      /multiple-products-security-advisory-unrendered-unicode-bidirecti
      onal-override-characters-cve-2021-42574-1086419475.html

   -= GitHub =-
   GitHub heeft een waarschuwing gepubliceerd. De waarschuwing kunt u
   vinden op:

   https://github.blog/changelog
      /2021-10-31-warning-about-bidirectional-unicode-text/

   -= Red Hat =-
   Red Hat heeft updates en een writeup beschikbaar gesteld. U kunt
   deze updates installeren met behulp van het commando 'yum'. Meer
   informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:

   CVE-2021-42574:
   https://access.redhat.com/security/cve/CVE-2021-42574

   CVE-2021-42694:
   https://access.redhat.com/security/cve/CVE-2021-42694

   Writeup:
   https://access.redhat.com/security/vulnerabilities/RHSB-2021-007

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8

wsDVAwUBYYFRLeEs56R4sCd0AQoTCQv9F32mEKJ5QSsNMoIXxg8XGdSZUwPJHfHf
HY9FqvPHuIaDszNQzZNFAEfnKOoJBXjRfTQyJiQtT7nAMEseq22ig4Q1INbUOK4Y
xmoQtXoB+fG7ScwzB8dQIMGLMz0J4PsQM00bGOJdltaBx+2KpUhRQmc4g1bDKHa4
dp1AV2d6K2mhrGbqlg9NGTJ/hYJdVUZR6MBUuYkB2fdVB6ca5WGAOzWctma0lDc/
VQdSl5F2+WlaFo5Cb6TihhSXGb8tijedOgy7AjOjHHWwr0m7oBebcOWGAiGOIA2J
ioRQXyCwDEbBUFt42cCl0kO1FRZoG5yQlJzaHyqvBBdUBRdeDM6Og7LpN9poYTSg
NBXVe/gD9kD/jY5NcQskWVlu93dsmuv2ZF8EcAXb1WItX2BEKm833jitJWP9ApQS
Aaoh5WN/SPiWc7LAvHJeyASEGHB1uwYgEVqCHmfOyGATFI4yxJA/iV2+f6QAHBIe
cXX6rgljIFNRXGRkCfTlxb1zU+YCt1/1
=XCPz
-----END PGP SIGNATURE-----