Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücke in Confluence

Am ver­gan­ge­nen Donnerstag hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Sie wird durch die Art und Weise, auf die XML-Parser eines Drittanbieters ver­wen­det wer­den, ver­ur­sacht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer auf Grund die­ser Sicherheitslücke, auch ohne am System ange­mel­det zu sein,

  • einen Denial of Service (DoS) Angriff gegen das System aus­füh­ren kann
  • alle Dateien auf dem Server aus­le­sen kann, auf die der Nutzer Zugriff hat, unter dem Confluence aus­ge­führt wird

Um die Gefahr etwas ein­zu­däm­men, kön­nen kurz­fris­tig die von Atlassian unter "Risk Mitigation" vor­ge­schla­ge­nen Maßnahmen ange­wen­det wer­den. Allerdings besteht laut Atlassian der ein­zig wirk­same Schutz in einem Upgrade auf min­des­tens Confluence 3.5.16 (oder die jeweils aktu­ells­ten Minor-Releases der neue­ren Confluence-Versionen). Für ältere Confluence-Versionen muss also auf ein ent­spre­chen­des Major-Release aktua­li­siert wer­den.

Weitere Details zur Sicherheitslücke kön­nen im Artikel von Atlassian gefun­den wer­den.

Related Posts

Pin It on Pinterest