Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücke in Bamboo

Logo für Atlassian BambooHeute  hat Atlassian einen Hinweis zu eini­gen Sicherheitslücken in Bamboo ver­öf­fent­licht. Sechs der Sicherheitslücken wer­den von Atlassian als “High”, eine als "Medium" ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret bedeu­tet dies, sie sind nur schwer aus­zu­nut­zen und führt dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust.

Es han­delt sich dabei um

  1. eine Anfälligkeit  für Cross-Site-Scripting (XSS). Alle Versionen vor Bamboo 3.1 sind betrof­fen. Es wird emp­foh­len, Bamboo min­des­tens auf die Version 3.1 zu aktualisieren.
  2. eine Anfälligkeit für OS Command Injection einer Drittanbieterbibliothek. Der Angreifer kann Befehle an das Betriebssystem des Bamboo Servers getarnt als Bamboo Nutzer aus­füh­ren. Alle Versionen vor Bamboo 3.2 sind betrof­fen. Es wird emp­foh­len, Bamboo min­des­tens auf die Version 3.2 zu aktualisieren.
  3. eine Informationsleck, wodurch ein Angreifer sich getarnt als Bamboo Nutzer bestimmte Ordnerstrukturen, aber nicht die Ordnerinhalte des Bamboo Servers sich­ten kann. Alle Versionen vor Bamboo 3.3 sind betrof­fen. Es wird emp­foh­len, Bamboo min­des­tens auf die Version 3.3 zu aktualisieren.

Solange ein Upgrade nicht mög­lich ist, sollte der Zugriff auf bekannte Gruppen beschränkt werden.Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. Bamboo Studio und OnDemand sind für diese Probleme nicht anfällig.

Weitere Details zur Sicherheitslücke kön­nen im Artikel von Atlassian gefun­den werden.

Related Posts

Pin It on Pinterest