Confluence Schwachstelle

Seit heute, Freitag, den 03.06.2022 ist der Zugang zum Wiki-Dienst Confluence (https://confluence.desy.de) von außerhalb nicht mehr möglich.

Hintergrund für diese Maßnahme ist eine kürzlich bekannt gewordene Schwachstelle im ATLASSIAN Produkt Confluence, deren Ausnutzung auf diese Weise vorgebeugt werden soll. Der Hersteller empfiehlt explizit, den Zugriff betroffener Systeme aus dem Internet zu unterbinden. An einer entsprechenden Behandlung der Schwachstelle wird seitens des Herstellers gearbeitet.

Auf dieser Webseite finden Sie Informationen dazu, welche Möglichkeiten bestehen, um auch von außerhalb auf Confluence zugreifen zu können.

Im Falle von Fragen wenden Sie sich gern an den zentralen DESY IT-Helpdesk (E-Mail: uco@desy.de, Tel: 5005).

SSH-Verbindung

Sollten Sie keinen VPN-Zugang haben oder kein DESY-Dienstgerät verwenden, ist die Verwendung einer SSH-Verbindung erforderlich, um interne DESY-Webseiten erreichen zu können. Folgen Sie hierzu bitte den im Folgenden genannten Schritten.

Abbildung 1

Schritt 1 - Stellen Sie die SSH-Verbindung her

Wenn Sie mit einem Windows Rechner arbeiten, drücken Sie ⊞ Win + R, geben cmd ein und klicken "OK" (Abb. 1), um die Kommandozeile zu öffnen.

Führen Sie folgenden Befehl in der Kommandozeile aus und drücken anschließend die Enter-Taste ↵ (Abb. 2):

ssh -D 2280 username@bastion.desy.de

 

 

Abbildung 2

username erstetzen Sie durch Ihren persönlichen DESY Benutzernamen. Geben Sie Ihr Passwort ein (die Eingabe des Passworts ist nicht sichtbar) und drücken erneut die Eingabe-Taste ↵. Lassen Sie das Fenster bitte geöffnet, bei Bedarf minimieren Sie es.

 

Abbildung 3

Schritt 2 - Richten Sie den Browser ein

Starten Sie Firefox und öffnen Sie über das Menü die Einstellungen (☰ -> "⛭ Einstellungen"), scrollen Sie nach ganz unten zum Abschnitt "Verbindungs-Einstellungen" und klicken dort auf den Knopf "Einstellungen...". Tätigen Sie folgende Einstellungen (siehe auch Abb. 3) und klicken anschließend auf "OK".

  • Aktivieren Sie die Option "Manuelle Proxy-Konfiguration"
  • SOCKS-Host: localhost
  • Port: 2280
  • Aktivieren Sie die Option SOCKS v5
  • Aktivieren Sie die Option "Bei Verwendung von SOCKS v5 den Proxy für DNS-Anfragen verwenden"


Sie können interne Webseiten wie https://confluence.desy.de nun unter Nutzung Ihres lokalen Firefox aufrufen.

Hinweis: Nach dem Festlegen des Proxys wird mit dem Browser keine Verbindung auf beliebige Webseiten mehr möglich sein oder nur noch sehr langsam, wenn die SSH Verbindung nicht aktiv ist. Außerdem wird hier wie bei einer VPN Verbindung der gesamte Internetverkehr des Browsers über DESY getunnelt.

VPN-Verbindung

Nutzende, welche einen VPN-Zugang haben, können mit ihrem DESY-Dienstgerät eine VPN-Verbindung herstellen und auf diese Weise interne Webseiten aufrufen. Eine Anleitung zur Herstellung einer VPN-Verbindung finden Sie bei Bedarf auf folgender Webseite:

https://it.desy.de/dienste/externer_zugang/vpn

Bitte beachten Sie, dass der Erhalt eines VPN-Zugangs in der Regel nur zulässig ist für DESY-Mitarbeitende, welche mit einem DESY-Dienstgerät arbeiten. Sollte Sie nicht mit einem DESY-Dienstgerät arbeiten, nutzen Sie bitte SSH (siehe o.g. Abschnitt).