Atlassian hat kritische Sicherheitslücken behoben: Confluence, JIRA, Bamboo, FishEye und Crucible jetzt upgraden!

In diesen Tagen hat Atlassian einige Sicherheitswarnungen herausgegeben. Sie betreffen die Produkte Confluence, JIRA, Bamboo sowie die Entwickler-Tools FishEye und Crucible. Upgrades stehen zur Verfügung und schließen die Security-Lücken.

Confluence: Kritische XML-Parsing-Anfälligkeit

Das Atlassian-Team hat in Confluence ein signifikantes Sicherheitsproblem festgestellt, das nach der Skala Severity Levels for Security Issues als kritisch einzustufen ist. Die Schwachstelle tritt in allen Confluence-Versionen hinauf bis inklusive Version 4.1.9 auf.

  • Kunden, die Confluence lokal installiert haben, müssen die bestehende Confluence-Instanz upgraden, um die Sicherheitslücken zu schließen
  • Enterprise-Hosting-Kunden müssen dem Enterprise Hosting Support eine Upgrade-Anfrage stellen.
  • Kunden von JIRA Studio und Atlassian OnDemand sind nicht betroffen.

Angriffsszenarien
Die Sicherheitslücke entsteht durch die Art und Weise, wie Third-Party-XML-Parser in Confluence genutzt werden. Durch diese Lücke sind folgende Szenarien durch Angreifer möglich:

  • Ausführen von DOS-Attacken gegen den Confluence-Server
  • Einsehen aller lokalen Dateien, die für den System User lesbar sind, unter dem Confluence läuft

Dafür benötigt der Angreifer keinen Account für die Confluence-Instanz.

Alle Versionen bis inklusive Confluence 4.1.9 sind von diesem Sicherheitsproblem betroffen. Der Vorgang ist in der öffentlichen JIRA-Instanz für die Confluence-Entwicklung dokumentiert.

Das Gliffy-Plugin für Confluence ist ebenfalls für diesen Exploit anfällig. Um das Problem zu beheben, ist ein Upgrade auf die Version 4.2 des Gliffy-Plugins erforderlich, unabhängig davon, in welcher Confluence-Version es betrieben wird.

Risiko-Minimierung
Atlassian empfiehlt ein Upgrade der Confluence-Installation. Falls ein kurzfristiges Upgrade nicht möglich ist, rät der Hersteller, alle der folgenden Maßnahmen zu treffen, die das Problem allerdings nur minimieren, es jedoch nicht vollständig beheben:

  • Zugriff auf die SOAP- und XML-RPC-APIs deaktivieren, falls diese Romote-APIs nicht erforderlich sind.
  • Deaktivierung der folgenden Plugins bzw. Plugin-Module:
    • Office-Connector-Plugin
    • JunitReport-Makro-Modul des Confluence-advanced-Macros-Plugins
    • Confluence-JIRA3-Macro-Plugin
    • WebDAV
  • Öffentlichen Zugriff auf Confluence deaktivieren, bis ein Upgrade vorgenommen worden ist
  • Sicherstellen, dass der System User - wie in den Best Practices for Configuring Confluence Security beschrieben - beschränkt ist

Fix durch Upgrade
Ein Upgrade auf Confluence 4.2 oder höher behebt das Sicherheitsproblem vollständig. Eine ausführliche Beschreibung dieser Version findet sich in den Release Notes im Atlassian-Wiki.

Auch für ältere Confluence-Versionen stehen Updates bereit:

  • Confluence 4.1.10 für Confluence 4.1
  • Confluence 4.0.7 für Confluence 4.0
  • Confluence 3.5.16 für Confluence 3.5

Das Gliffy-Plugins steht in der Version 4.2 zur Verfügung, in der die Schwachstelle behoben ist.

Es gibt für Confluence in diesem Fall keine Patches. Aufgrund der Komplexität des Problems ist es nicht möglich, Patches zu entwickeln, ohne die Betriebssicherheit und Funktionsfähigkeit von Confluence zu beeinträchtigen. Ein Upgrade ist also zwingend erforderlich.

JIRA: Hoch eingestuftes Sicherheitsproblem

Für JIRA ist das Sicherheitsproblem als hoch einzustufen. Von der XML-Parsing-Anfälligkeit sind alle JIRA-Versionen bis hinauf zu JIRA 5.0.0 betroffen. Ein autorisierter JIRA-Nutzer hat in diesen JIRA-Instanzen die Möglichkeit, den JIRA-Server mit DOS-Attacken anzugreifen. Der Vorgang kann hier eingesehen werden.

Darüber hinaus sind das Tempo- und das Gliffy-Plugin anfällig für den Exploit. Für diese Plugins sind Upgrades auf die aktuellen Versionen erforderlich, egal in welcher JIRA-Version sie betrieben werden.

Risikominimierung
Für JIRA empfiehlt Atlassian ebenfalls ein Upgrade. Alternativ sollte in jedem Fall der öffentliche Zugriff deaktiviert werden, bis der Patch oder ein Upgrade eingespielt ist.

Fix durch Upgrade (empfohlen) oder Patch
Ein Upgrade auf JIRA 5.0.1 oder höher schließt die Sicherheitslücke. Die Release Notes enthalten alle Informationen zu dieser Version.

Die folgenden Plugins von Drittanbietern müssen ebenfalls upgegradet werden. Grundsätzlich ist jeweils ein Update auf die jüngste Version ratsam. Der folgenden Liste können Sie entnehmen, welche Version in Abhängigkeit von der JIRA-Version mindestens benötigt wird:

  • JIRA 5.0: Gliffy für JIRA 3.7.1, Tempo 7.0.3
  • JIRA 4.4: Gliffy für JIRA 3.7.1, Tempo 6.5.1
  • JIRA 4.3: Gliffy für JIRA 3.7.1, Tempo 6.4.3.1
  • JIRA 4.2: Gliffy für JIRA 3.7.1, Tempo 6.4.3.1

Patches empfiehlt Atlassian nur, wenn kein Upgrade möglich ist und keine externen Security-Kontrollen anstehen. Das Einspielen eines Patches ist laut Atlassian immer nur als Interimslösung bis zum Upgrade zu verstehen: Patches sind oft nicht kumulativ, sodass nicht mehrere Patches übereinander installiert werden, sondern reguläre Updates vorgenommen werden sollten.

Sollte kein kurzfristiges Upgrade möglich sein, gehen Kunden beim Aufspielen eines Patches so vor:

  • Laden Sie den Patch für Ihre JIRA-Version herunter (JIRA 4.4.5, JIRA 4.3.4, JIRA 4.2.4, JIRA 4.1.2).
  • Updaten Sie die Dateien in Ihrer JIRA-Installation mit dem Patch.
    • JIRA: Fahren Sie JIRA herunter. Ersetzen Sie $JIRA_INSTALL/atlassian-jira/WEB-INF/classes/atlassian-bundled-plugins.zip durch die heruntergeladene Patch-Datei. Löschen Sie das Verzeichnis $JIRA_HOME/plugins/.bundled-plugins. Starten Sie JIRA neu.
    • JIRA WAR: Ersetzen Sie $JIRA_WAR_INSTALL/webapp/WEB-INF/classes/atlassian-bundled-plugins.zip durch die heruntergeladene Patch-Datei. Generieren Sie die WAR-Datei neu. Fahren Sie JIRA herunter. Installieren Sie die neu generierte WAR-Datei. Löschen Sie das Verzeichnis $JIRA_HOME/plugins/.bundled-plugins. Starten Sie JIRA neu
  • Upgraden Sie gegebenenfalls die oben genannten Plugins.

Bamboo: Ebenfalls kritische XML-Parsing-Anfälligkeit

Bei Bamboo ist eine kritische XML-Parsing-Anfälligkeit erkannt und behoben worden. Das Problem betrifft alle Bamboo-Releases bis hinauf zur Version 3.4.4 und diese Nutzergruppen:

  • Kunden, die Bamboo lokal installiert haben, sollten die bestehende Bamboo-Instanz upgraden, um die Sicherheitslücke zu schließen.
  • Enterprise-Hosting-Kunden müssen dem Enterprise Hosting Support eine Upgrade-Anfrage stellen.
  • Kunden von JIRA Studio und Atlassian OnDemand sind nicht betroffen.

Die Auswirkungen des Problems entsprechen den im Zusammenhang mit Confluence beschriebenen. Durch die Sicherheitslücke haben Angreifer die Möglichkeit,

  • DOS-Attacken gegen den Bamboo-Server zu fahren oder
  • alle lokalen Dateien, die für den System User, unter dem Bamboo läuft, lesbar sind, einzusehen.

Der Angreifer benötigt allerdings einen Account für die entsprechende Bamboo-Server-Instanz und muss sich einloggen können, um die Attacke auszuführen. Der Vorgang ist ebenfalls in Atlassians öffentlicher JIRA-Instanz getrackt.

Risikominimierung
Atlassian empfiehlt ein Upgrade, um die Sicherheitslücke zu schließen. Sollte dies nicht sofort möglich sein, können die folgenden Maßnahmen das Risiko zumindest minimieren, allerdings nicht völlig ausschließen:

  • Öffentlichen Zugriff deaktivieren, bis der Patch eingespielt oder ein Upgrade vorgenommen wurde
  • Sicherstellen, dass das Bamboo-System allen in den Best Practices for Bamboo Security beschriebenen Anforderungen genügt

Fix durch Upgrade (empfohlen) oder Patch
Ein Upgrade auf Bamboo 4.0 oder höher ist die empfohlene Lösung. Die Release Notes im Atlassian-Wiki halten ausführliche Informationen zu diesem Release vor.

Wer stattdessen lieber weiter mit einer älteren Version und der gewohnten Funktionalität arbeiten möchte, kann ebenfalls ein Upgrade vornehmen. Diese Versionen stehen zur Verfügung:

  • Bamboo 3.3.4 für Bamboo 3.3.x
  • Bamboo 3.4.5 für Bamboo 3.4.x

Alternativ hat der Hersteller für Bamboo in den Releases 3.2.x bis 3.4.x. auch Patches zur Verfügung gestellt. Hier gelten dieselben Hinweise wie im Falle von JIRA. Falls ein Upgrade kurzfristig nicht möglich ist, sollten Kunden so vorgehen:

  • Laden Sie die Datei atlassian-bundled-plugins.zip herunter, die dem Bamboo-Vorgang BAM-11316 angehängt ist.
  • Halten Sie Bamboo an.
  • Erstellen Sie ein Backup des Verzeichnisses <bamboo_install_dir>.
  • Kopieren Sie unter webapp/WEB-INF/classes die heruntergeladene Datei ein, um die bestehende Datei gleichen Namens zu ersetzen.
  • Starten Sie Bamboo neu.

FishEye und Crucible: Hohes Risiko

Das Sicherheitsproblem von FishEye und Crucible bewertet Atlassian ebenfalls als kritisch. Betroffen sind alle Versionen bis hinauf zum Release 2.7.11 und dieselben Nutzergruppen wie im Falle von Bamboo. Auch die Risiken aufgrund der Sicherheitslücke entsprechen den Gefahren für Bamboo-Nutzer.

Ein Angreifer benötigt jedoch keinen Account für den entsprechenden FishEye- und Crucible-Server. Der Vorgang ist hier nachzulesen.

Risikominimierung
Ein Upgrade wird ausdrücklich empfohlen. Sicherheitsmaßnahmen ohne Upgrade begrenzen die Risiken, schließen sie aber nicht aus. Wer kein Upgrade vornehmen kann oder will, sollte zumindest diese Vorkehrungen treffen:

  • Zugriff auf die Remote-, SOAP- und XML-RPC-APIs deaktivieren, sofern sie nicht dringend benötigt werden
  • Öffentlichen Zugriff deaktivieren
  • Sicherstellen, dass der System User - wie in den Best Practices for Configuring FishEye Security dargestellt - beschränkt ist

Fix durch Upgrade

Es ist ein Upgrade auf FishEye and Crucible 2.7.12 oder höher nötig, um das Problem zu beheben. Informationen zum Release finden sich in den Release Notes zu FishEye und Crucible.

Zudem gibt es für Nutzer der folgenden Versionen Upgrade-Möglichkeiten, ohne auf hohe Versionen umzustellen:

  • FishEye und Crucible 2.6.8 für FishEye und Crucible 2.6.
  • FishEye und Crucible 2.5.8 für FishEye und Crucible 2.5.

Patches liefert Atlassian für FishEye und Crucible nicht aus.

Weiterführende Informationen

Haben sie Fragen zu Sicherheitsaspekten und/oder benötigen Sie Unterstützung beim Update? //SEIBERT/MEDIA ist offizieller Vertriebspartner von Atlassian und Atlassian Platinum Expert. Wir helfen Ihnen bei allen Aspekten rund um die Einführung und den Betrieb Ihrer Atlassian-Produkte - von der Lizenzierung bzw. der Erneuerung Ihrer Software Maintenance bis hin zur Sicherheitsoptimierung. Bitte sprechen Sie uns an.

Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen
//SEIBERT/MEDIA ist Atlassian Platinum Expert