Atlassian: Kritische Sicherheitslücke in Confluence

Nutzer, die die Wiki-Software Confluence von Atlassian selbst hosten, sind zum Update aufgefordert

Artikel veröffentlicht am ,
Zugemauert: kritische Sicherheitslücke gepatcht.
Zugemauert: kritische Sicherheitslücke gepatcht. (Bild: dierk schaefer via flickr/CC-BY 2.0)

In der Wiki-Software Confluence wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, eigenen Code auf den Servern auszuführen. Atlassian stellt für mehrere Versionen Patches und Updates bereit. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, die Cloud-Variante ist nicht betroffen.

Stellenmarkt
  1. IT-Softwareentwickler/-in mit dem Schwerpunkt Datenbankentwicklung (m/w/d)
    awk AUSSENWERBUNG GmbH, Koblenz
  2. Softwareentwickler*in - Creative Innovation Lab
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
Detailsuche

Geschlossen ist die Lücke in den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0. Atlassian empfiehlt den Einsatz der aktuellen Long-Time-Support-Version - das ist 7.13.0 -, ist sich aber auch bewusst, dass ein direktes Upgrade darauf nicht von allen Versionen aus möglich ist.

Auch können manche Unternehmen im Betrieb befindliche Software nicht sofort mit einem Update versorgen. Als Übergangslösung gibt es daher ein Script, dass von Admins genutzt werden kann, um die Lücke schnell temporär zu beseitigen. Details können auf Atlassians Seite zu dem Bug eingesehen werden.

Lücke in der OGNL-Implementierung

Bei der Sicherheitlücke handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. In den meisten Fällen ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, jedoch gibt es in Ausnahmefällen diese Einschränkung nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    07./08.02.2023, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.02.2023, Virtuell
Weitere IT-Trainings

Die Einstufung des Bugs als kritisch basiert auf dem nach dem Industriestandard CVSS ermittelten Wert von 9,8 von 10 möglichen Punkten. Entdeckt hat ihn der Sicherheitsexperten Benny Jacob.

Die CVE-Nummer ist CVE-2021-26084, das zugehörige Jira-Issue bei Atlassian kann öffentlich eingesehen werden. Genaueres zu dem Bug inklusive der Informationen, was genau sich wie ausnutzen ließ, ist noch nicht bekannt und weiterhin als vertraulich eingestuft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Katastrophenschutz  
Endlich klingelt es am Warntag

Zwei Jahre nach dem ersten bundesweiten Warntag klingelt es dank Cell Broadcast deutschlandweit. An anderen Stellen fehlen weiterhin Warnmittel.

Katastrophenschutz: Endlich klingelt es am Warntag
Artikel
  1. Deepmind: Ist KI nun schlauer als bekannte Mathematiker?
    Deepmind
    Ist KI nun schlauer als bekannte Mathematiker?

    Künstliche Intelligenz hat einen neuen Rechenweg für Matrizen gefunden. Wir erklären im Detail, was genau Deepmind geschafft hat und warum weitere Durchbrüche zu erwarten sind.
    Von Matthias Müller-Brockhausen

  2. Kritische Infrastruktur: Nicht nur die IT soll geschützt werden
    Kritische Infrastruktur
    Nicht nur die IT soll geschützt werden

    Die Bundesregierung will den Schutz kritischer Infrastrukturen vereinheitlichen und verstärken.

  3. RHEL-Klon: Cern und Fermilab setzen auf CentOS-Alternative Alma Linux
    RHEL-Klon
    Cern und Fermilab setzen auf CentOS-Alternative Alma Linux

    Die Arbeiten am eigenen Scientific Linux laufen aus, das bisherige CentOS gibt es bald nicht mehr. Die Institute satteln also um.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Asus RTX 4080 1.640,90€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /