Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/8 33 82-0

Sicherheitslücke in Confluence ab 6.0.0 bis einschließlich 6.0.6

Atlassian hat heute einen Hinweis zu einer Sicherheitslücke für den Confluence Server veröffentlicht.

Die Sicher­heits­lü­cken wird von Atlas­sian als „High“ ein­ge­stuft. – Das ent­spricht der zweit­höchs­ten Sicher­heits­stufe, aus den von Atlas­sian defi­nier­ten Schwe­re­gra­den für Sicher­heits­vor­fälle: Seve­rity Levels for Secu­rity Issues

Zusammenfassung der Schwachstelle

Die Sicher­heits­mel­dung vom Schwe­re­grad „High“ betrifft die Con­flu­ence Ser­ver­ver­sion ab 6.0.0 (in der die Schwach­stelle ein­ge­führt wurde) bis ein­schließ­lich Ver­sion 6.0.6.

Atlas­sian Cloud Instan­zen sind bereits aktua­li­siert und sind nicht mehr von der hier beschrie­be­nen Sicher­heits­mel­dung betrof­fen.

Con­flu­ence Ser­ver in der Ver­sion 6.0.7 oder 6.1.0 und höher sind nicht von der hier beschrie­be­nen Sicher­heits­mel­dung betrof­fen.

Problembeschreibung

Die Con­flu­ence Web­schnitt­stelle für Ent­würfe ermög­licht es den aktu­el­len Inhalt von allen Wiki-Sei­ten und Blog­bei­trä­gen aus­zu­le­sen. Dazu benö­tigt man nur die Sei­ten ID oder Ent­wurf ID und eine Authen­ti­fi­zie­rung an Con­flu­ence ist nicht not­wen­dig. Angrei­fer, die auf die Web­schnitt­stelle von einer betrof­fe­nen Con­flu­ence Ver­sio­nen zugrei­fen kön­nen, sind in der Lage die Inhalte von Wiki-Sei­ten und Blogs aus­zu­le­sen – vor­aus­ge­setzt sie haben die ID der Seite oder des Ent­wurfs.

Der Sicherheitshinweis von Atlassian

Eine genaue Beschrei­bung der Lücke ist unter fol­gen­den Links zu fin­den: Con­flu­ence Secu­rity Advi­sory – 2017-04-19

Problemlösung

Atlas­sian emp­fiehlt die Aktua­li­sie­rung der Soft­ware auf die nach­fol­gend genann­ten Ver­sio­nen oder neuer:

  • Aktua­li­sie­ren Sie auf die Ver­sion 6.0.7 oder 6.1.0 (oder neuer)

Wir sind da

Kon­tak­tie­ren Sie uns, wenn Sie Hilfe beim Update oder Ein­spie­len des Patches benö­ti­gen. Wir sind lang­jäh­ri­ger Part­ner von Atlas­sian und unter­stüt­zen Sie eben­falls gern bei der Lizen­zie­rung.

Kommentar hinterlassen