Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücke in Confluence

Heute hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke ver­öf­fent­licht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht.

Problembeschreibung

Im kon­kre­ten Fall kann ein Angreifer mit Zugang zum Confluence-System belie­bi­gen Java-Code aus­füh­ren. Wenn Confluence für den anony­men Zugang kon­fi­gu­riert ist, benö­tigt der Angreifer kei­nen gül­ti­gen Nutzeraccount.

Betroffen sind alle Confluence Versionen von 3.5 bis 5.1.4. Weitere Atlassian-Anwendungen sind nicht betrof­fen. Besonders gefähr­det sind im Internet ver­füg­bare Confluence-Systeme.

Problemlösung

Atlassian bie­tet die fol­gen­den Optionen zur Eindämmung des Problems an. Wir emp­feh­len drin­gend die Optionen A oder B umzu­set­zen:

A. Empfehlung: Upgrade auf Confluence 5.1.5

Wie üblich hat Atlassian ein Update für Confluence ver­öf­fent­licht. Die Version 5.1.5 ist nicht mehr von der Sicherheitslücke betrof­fen. Systeme, bei denen ein Upgrade pro­blem­los mög­lich ist, soll­ten als­bald aktua­li­siert wer­den.

B. Einspielen eines Patches

Für den Fall, dass das Upgrade nicht kurz­fris­tig mög­lich ist, hat Atlassian einen Patch bereit­ge­stellt. Dieser kann auf der Beschreibungsseite der Sicherheitslücke her­un­ter­ge­la­den wer­den. Dort fin­den sich auch die Anleitung zur Einspielung und wei­tere Informationen.

C. Workaround: URL-Blockade

Eine dritte Möglichkeit ist die Blockierung von URLs, die die Zeichenkette "${" ent­hal­ten, durch die Firewall oder am Reverse Proxy. Atlassian stuft diese Variante jedoch nur als zeit­weise Übergangslösung ein. Weitere Details fin­den sich eben­falls auf der Beschreibungsseite der Sicherheitslücke.

Related Posts

Pin It on Pinterest