Atlassian: Kritische Sicherheitslücke in Confluence

Nutzer, die die Wiki-Software Confluence von Atlassian selbst hosten, sind zum Update aufgefordert

Artikel veröffentlicht am ,
Zugemauert: kritische Sicherheitslücke gepatcht.
Zugemauert: kritische Sicherheitslücke gepatcht. (Bild: dierk schaefer via flickr/CC-BY 2.0)

In der Wiki-Software Confluence wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, eigenen Code auf den Servern auszuführen. Atlassian stellt für mehrere Versionen Patches und Updates bereit. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, die Cloud-Variante ist nicht betroffen.

Stellenmarkt
  1. Architekt (m/w/d) für den Bereich Identity und Access-Management (IAM)
    Allianz Deutschland AG, München Unterföhring
  2. Testautomatisierer IoT Suite (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
Detailsuche

Geschlossen ist die Lücke in den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0. Atlassian empfiehlt den Einsatz der aktuellen Long-Time-Support-Version - das ist 7.13.0 -, ist sich aber auch bewusst, dass ein direktes Upgrade darauf nicht von allen Versionen aus möglich ist.

Auch können manche Unternehmen im Betrieb befindliche Software nicht sofort mit einem Update versorgen. Als Übergangslösung gibt es daher ein Script, dass von Admins genutzt werden kann, um die Lücke schnell temporär zu beseitigen. Details können auf Atlassians Seite zu dem Bug eingesehen werden.

Lücke in der OGNL-Implementierung

Bei der Sicherheitlücke handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. In den meisten Fällen ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, jedoch gibt es in Ausnahmefällen diese Einschränkung nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Die Einstufung des Bugs als kritisch basiert auf dem nach dem Industriestandard CVSS ermittelten Wert von 9,8 von 10 möglichen Punkten. Entdeckt hat ihn der Sicherheitsexperten Benny Jacob.

Die CVE-Nummer ist CVE-2021-26084, das zugehörige Jira-Issue bei Atlassian kann öffentlich eingesehen werden. Genaueres zu dem Bug inklusive der Informationen, was genau sich wie ausnutzen ließ, ist noch nicht bekannt und weiterhin als vertraulich eingestuft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Browser: Edge unterstützt Maus und Tastatur auf Xbox
    Browser
    Edge unterstützt Maus und Tastatur auf Xbox

    Microsoft hat Edge auf den aktuellen Xbox-Konsolen aktualisiert. Jetzt lässt sich der Browser fast wie am PC per Maus und Tastatur bedienen.

  3. Staatliche Hacker: Stasi hörte seit 1975 Autotelefone in West-Berlin ab
    Staatliche Hacker
    Stasi hörte seit 1975 Autotelefone in West-Berlin ab

    Das B-Netz der Deutschen Bundespost wurde spätestens seit 1975 von der DDR-Staatssicherheit abgehört.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung Odyssey G7 499€ • Alternate (u. a. Thermaltake Level 20 RS ARGB 99,90€) • Samsung 980 1 TB 83€ • Lenovo IdeaPad Duet Chromebook 229€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • AeroCool Cylon 4 ARGB 25,89€ [Werbung]
    •  /