Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Atlassian: Kritische Sicherheitslücke in Confluence

Nutzer, die die Wiki -Software Confluence von Atlassian selbst hosten, sind zum Update aufgefordert
/ Boris Mayer
2 Kommentare News folgen (öffnet im neuen Fenster)
Zugemauert: kritische Sicherheitslücke gepatcht. (Bild: dierk schaefer via flickr)
Zugemauert: kritische Sicherheitslücke gepatcht. Bild: dierk schaefer via flickr / CC-BY 2.0

In der Wiki-Software Confluence(öffnet im neuen Fenster) wurde eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, eigenen Code auf den Servern auszuführen. Atlassian stellt für mehrere Versionen Patches und Updates bereit. Betroffen sind nur die Nutzer von selbst gehosteten Confluence-Servern, die Cloud-Variante ist nicht betroffen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Network Engineer (m/w/d) medatixx GmbH & Co. KG, Bamberg (öffnet im neuen Fenster)
Teamleiter Application Management IT (m/w/d) HELUKABEL GmbH, Hemmingen (öffnet im neuen Fenster)
Kommunikationsdesigner/-in Schwerpunkt UI-Design (m/w/d) Landeshauptstadt Stuttgart, Stuttgart (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) Kyberg Pharma Vertriebs-GmbH, Unterhaching (öffnet im neuen Fenster)
SAP HR Inhouse Consultant (m/w/d) SuccessFactors / HCM ALTANA Management Services GmbH, Hartenstein (öffnet im neuen Fenster)
Referent/in - Sicherheits- und Verteidigungsindustrie & Start-Ups (m/w/d) Agentur für Innovation in der Cybersicherheit GmbH, Erding (öffnet im neuen Fenster)
Leitung IT Security (m/w/d) Häcker Küchen GmbH & Co. KG, Rödinghausen (öffnet im neuen Fenster)

Geschlossen ist die Lücke in den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0. Atlassian empfiehlt den Einsatz der aktuellen Long-Time-Support-Version - das ist 7.13.0 -, ist sich aber auch bewusst, dass ein direktes Upgrade darauf nicht von allen Versionen aus möglich ist.

Auch können manche Unternehmen im Betrieb befindliche Software nicht sofort mit einem Update versorgen. Als Übergangslösung gibt es daher ein Script, dass von Admins genutzt werden kann, um die Lücke schnell temporär zu beseitigen. Details können auf Atlassians Seite zu dem Bug(öffnet im neuen Fenster) eingesehen werden.

Lücke in der OGNL-Implementierung

Bei der Sicherheitlücke handelt es sich um einen Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. In den meisten Fällen ist zur Ausnutzung der Lücke zwar eine Authentifizierung nötig, jedoch gibt es in Ausnahmefällen diese Einschränkung nicht.

Reklame

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)
Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Die Einstufung des Bugs als kritisch basiert auf dem nach dem Industriestandard CVSS(öffnet im neuen Fenster) ermittelten Wert von 9,8 von 10 möglichen Punkten. Entdeckt hat ihn der Sicherheitsexperten Benny Jacob.

Die CVE-Nummer ist CVE-2021-26084(öffnet im neuen Fenster) , das zugehörige Jira-Issue bei Atlassian kann öffentlich eingesehen(öffnet im neuen Fenster) werden. Genaueres zu dem Bug inklusive der Informationen, was genau sich wie ausnutzen ließ, ist noch nicht bekannt und weiterhin als vertraulich eingestuft.

Zur Startseite 2 Kommentare

Relevante Themen

AtlassianSoftwareToolsSecuritySicherheitslückeUpdates & PatchesDatensicherheitApplikationen