Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

Sicherheitslücke in Bamboo

Logo für Atlassian BambooHeute  hat Atlassian einen Hinweis zu einigen Sicherheitslücken in Bamboo veröffentlicht. Sechs der Sicherheitslücken werden von Atlassian als “High”, eine als „Medium“ eingestuft, was entsprechend der von Atlassian definierten Abstufung ein mittleres Risiko bedeutet. Konkret bedeutet dies, sie sind nur schwer auszunutzen und führt dann meist nicht zu Rechteausweitung oder signifikantem Datenverlust.

Es handelt sich dabei um

  1. eine Anfälligkeit  für Cross-Site-Scripting (XSS). Alle Versionen vor Bamboo 3.1 sind betroffen. Es wird empfohlen, Bamboo mindestens auf die Version 3.1 zu aktualisieren.
  2. eine Anfälligkeit für OS Command Injection einer Drittanbieterbibliothek. Der Angreifer kann Befehle an das Betriebssystem des Bamboo Servers getarnt als Bamboo Nutzer ausführen. Alle Versionen vor Bamboo 3.2 sind betroffen. Es wird empfohlen, Bamboo mindestens auf die Version 3.2 zu aktualisieren.
  3. eine Informationsleck, wodurch ein Angreifer sich getarnt als Bamboo Nutzer bestimmte Ordnerstrukturen, aber nicht die Ordnerinhalte des Bamboo Servers sichten kann. Alle Versionen vor Bamboo 3.3 sind betroffen. Es wird empfohlen, Bamboo mindestens auf die Version 3.3 zu aktualisieren.

Solange ein Upgrade nicht möglich ist, sollte der Zugriff auf bekannte Gruppen beschränkt werden.Kunden, die das Enterprise Hosting nutzen, sollten eine Upgrade-Anfrage über den Atlassian Support stellen. Bamboo Studio und OnDemand sind für diese Probleme nicht anfällig.

Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.

Kommentar hinterlassen


Pin It on Pinterest