Confluence, Jira, Bitbucket: Sicherheitslücken in Atlassian-Produkten

Atlassian weist auf mehrere Sicherheitslücken in seinen Produkten hin, mit denen Angreifer die Authentifizierung umgehen können - darunter ein hardcodiertes Passwort.

Artikel veröffentlicht am ,
Mit den Sicherheitslücken können nicht nur Angestellte auf Daten in Atlassian-Produkten zugreifen.
Mit den Sicherheitslücken können nicht nur Angestellte auf Daten in Atlassian-Produkten zugreifen. (Bild: Atlassian)

Atlassian hat seine Confluence-, Bamboo-, Bitbucket-, Fisheye-, Crucible- und Jira-Nutzer vor schwerwiegenden Sicherheitslücken gewarnt. Betroffen sind demnach auch ältere Versionen. Admins sollten umgehend entsprechend Updates einspielen. Zuerst hatte das Onlinemagazin The Register berichtet.

Stellenmarkt
  1. IT-Verantwortlicher (m/w/d) für den Second-Level-Support
    Stadt Eppingen, Eppingen
  2. R&D Manager (m/w/d) Industrial Communication
    Corventis, Raum Friedrichshafen, Ravensburg, Lindau
Detailsuche

Laut Sicherheitshinweisen von Atlassian können mit einer Sicherheitslücke (CVE-2022-26136) beliebige Servlet-Filter umgangen werden. Ein Angreifer könnte demnach mit einer speziellen HTTP-Anfrage benutzerdefinierte Servlet-Filter umgehen, die von Drittanbieter-Anwendungen dazu genutzt werden, eine Authentifizierung zu erzwingen. Entsprechend können Angreifer aus der Ferne die von Drittanbietern genutzte Authentifizierung umgehen.

Eine Liste mit betroffenen Anwendungen hat Atlassian jedoch nicht veröffentlicht, wie The Register kritisiert. Vonseiten des Herstellers heißt es in den Sicherheitshinweisen lapidar: "Atlassian hat Updates veröffentlicht, die die Ursache dieser Schwachstelle beheben, hat aber nicht alle potenziellen Folgen dieser Schwachstelle aufgezählt."

Weitere Sicherheitslücken in Confluence & Co

Die genannte Sicherheitslücke kann zudem für einen Cross-Site-Scripting-Angriff genutzt werden. Auch hier braucht es eine präparierte HTTP-Anfrage, mit der die Servlet-Filter zur Validierung legitimer Atlassian Gadgets umgangen werden können. "Ein Angreifer, der einen Benutzer dazu bringen kann, eine bösartige URL aufzurufen, kann beliebiges Javascript im Browser des Benutzers ausführen", heißt es in den Sicherheitshinweisen.

Golem Karrierewelt
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    11.-13.10.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Mit einer weiteren Sicherheitslücke (CVE-2022-26137) werden ebenfalls die Servlet-Filter mit einer HTTP-Anfrage umgangen, diesmal um das Cross-Origin Resource Sharing (CORS) auszuhebeln. Können Angreifer Nutzer dazu bringen, eine präparierte URL zu öffnen, können sie mit den Rechten des jeweiligen Nutzers auf die Anwendung zugreifen.

Hardcodiertes Passwort

Zu guter Letzt weist Atlassian auf ein hardcodiertes Passwort (CVE-2022-26138) in seinen Produkten hin, dieses soll die Migration in der Cloud erleichtern. Kennt allerdings ein Angreifer das Passwort, kann er aus der Ferne ohne weitere Authentifizierung die Inhalte von Confluence abrufen, auf die die Nutzer in der Gruppe confluence-users Zugriff haben.

Die Sicherheitslücken waren sowohl in der Cloud als auch in den aktuellen und älteren Programmversionen enthalten und wurden von Atlassian behoben. Bei der Cloudsoftware wurden die Updates bereits ausgerollt, die selbstgehosteten Programme sollten Admins umgehend aktualisieren.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Erst Anfang Juni hatte Atlassian dazu geraten, die Confluence-Server abzuschalten. Hintergrund war eine Zero Day in der Software, die bereits aktiv ausgenutzt wurde. Über die Sicherheitslücke konnten Angreifer aus der Ferne ohne Authentifizierung Schadcode ausführen (Remote Code Execution, RCE).

Einige Wochen zuvor hatte Atlassian mit einem mehrwöchigen Ausfall seiner Clouddienste zu kämpfen. Tools wie Jira und Confluence waren nicht verfügbar. Ursache war ein fehlerhaft geschriebenes Skript. Dieses nahm IDs von einzelnen Apps oder ganzen Sites an und löschte diese ohne eine zweite Nachfrage. Das wurde allerdings erst später klar: In einem zuvor laufenden Testrun wurden nämlich 30 Sites ohne Probleme bearbeitet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Google Fonts
Abmahnungen an Webseitenbetreiber mit Google-Schriftarten

Nach einer Entscheidung des Landgerichts München erhalten Webseitenbetreiber mit eingebundenen Google Fonts vermehrt Abmahnungen.

Google Fonts: Abmahnungen an Webseitenbetreiber mit Google-Schriftarten
Artikel
  1. Paw Patrol: US Space Force schickt Roboterhunde auf Patrouille
    Paw Patrol
    US Space Force schickt Roboterhunde auf Patrouille

    Die US Space Force wird einen hundeähnlichen Roboter von Ghost Robotics auf Patrouille schicken, um Personalkosten zu senken.

  2. Programmiersprache: JSON-Erfinder will Javascript in Rente schicken
    Programmiersprache
    JSON-Erfinder will Javascript in Rente schicken

    Douglas Crockford, der Erfinder des Datenformats JSON und Mitentwickler von Javascript, findet, dass die Sprache in Rente geschickt werden sollte.

  3. Windows auf dem Mac: Parallels wird merklich teurer
    Windows auf dem Mac
    Parallels wird merklich teurer

    Parallels 18 bietet eine native Unterstützung für Windows 11 und eine bessere Ressourcenzuweisung. Allerdings wird die Software teurer.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: WD SSD 1TB m. Kühlkörper (PS5) 119,90€, MSI 29,5" 200 Hz 259€, LG QNED 75" 120 Hz 1.455,89€ • MindStar (XFX RX 6950 XT 999€, Gainward RTX 3070 559€) • Gigabyte Deals • Der beste Gaming-PC für 2.000€ • Apple Week bei Media Markt • be quiet! Deals [Werbung]
    •  /