Atlassian: Kritische Sicherheitslücke in Confluence

Nutzer, die die Wiki-Software Confluence von Atlassian selbst hosten, sind zum Update aufgefordert

Artikel veröffentlicht am ,
Zugemauert: kritische Sicherheitslücke gepatcht.
Zugemauert: kritische Sicherheitslücke gepatcht. (Bild: dierk schaefer via flickr/CC-BY 2.0)

In der Wiki-Software Confluence wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, eigenen Code auf den Servern auszuführen. Atlassian stellt für mehrere Versionen Patches und Updates bereit. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, die Cloud-Variante ist nicht betroffen.

Stellenmarkt
  1. Chief Information Security Officer / CISO (m/f/d
    J.M. Voith SE & Co. KG, Heidenheim
  2. Consultant (m/w/d) MES
    J.M. Voith SE & Co. KG, Heidenheim an der Brenz
Detailsuche

Geschlossen ist die Lücke in den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0. Atlassian empfiehlt den Einsatz der aktuellen Long-Time-Support-Version - das ist 7.13.0 -, ist sich aber auch bewusst, dass ein direktes Upgrade darauf nicht von allen Versionen aus möglich ist.

Auch können manche Unternehmen im Betrieb befindliche Software nicht sofort mit einem Update versorgen. Als Übergangslösung gibt es daher ein Script, dass von Admins genutzt werden kann, um die Lücke schnell temporär zu beseitigen. Details können auf Atlassians Seite zu dem Bug eingesehen werden.

Lücke in der OGNL-Implementierung

Bei der Sicherheitlücke handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. In den meisten Fällen ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, jedoch gibt es in Ausnahmefällen diese Einschränkung nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    6.–10. Dezember 2021, virtuell
  2. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    7.–9. März 2022, Virtuell
Weitere IT-Trainings

Die Einstufung des Bugs als kritisch basiert auf dem nach dem Industriestandard CVSS ermittelten Wert von 9,8 von 10 möglichen Punkten. Entdeckt hat ihn der Sicherheitsexperten Benny Jacob.

Die CVE-Nummer ist CVE-2021-26084, das zugehörige Jira-Issue bei Atlassian kann öffentlich eingesehen werden. Genaueres zu dem Bug inklusive der Informationen, was genau sich wie ausnutzen ließ, ist noch nicht bekannt und weiterhin als vertraulich eingestuft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Streaming: Chromecast erhält spezielle Youtube-Fernbedienung
    Streaming
    Chromecast erhält spezielle Youtube-Fernbedienung

    Die Steuerung von Youtube auf einem Chromecast soll mit einer neuen Funktion deutlich komfortabler werden.

  2. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

  3. Google: Kopfhörer verlieren Google-Assistant-Support auf iPhones
    Google
    Kopfhörer verlieren Google-Assistant-Support auf iPhones

    Wer Google Assistant am Kopfhörer benutzen will, ist künftig auf ein Android-Gerät angewiesen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /