Kritische Sicherheitswarnungen für Confluence, Bamboo, FishEye/Crucible und Crowd: Updates schließen die Lücken

Penetrationstests Seibert MediaAtlassian hat kritische Sicherheitslücken in seinen Produkten Confluence, Bamboo, FishEye & Crucible und Crowd behoben und am 21. Mai 2014 entsprechende Sicherheitshinweise kommuniziert. Wir empfehlen unseren Kunden dringend, ihre jeweiligen Instanzen auf die neuesten Versionen zu aktualisieren, um diese Risiken auszuschließen.

Confluence: ClassLoader-Manipulation

Die Lücke betrifft eine Xwork-Bibliothek, die auch Teil von Apache Struts ist. Angreifer können diese Lücke missbrauchen, um beliebigen Java-Code auf Systemen auszuführen, die diese Frameworks nutzen. Dazu muss der Angreifer auf die Web-Oberfläche von Confluence zugreifen können. Sofern anonymer Zugriff auf die Confluence-Instanz aktiviert ist, benötigt der Angreifer keinen Nutzer-Account, um die Schwachstelle auszunutzen.

Die Lücke ist als kritisch einzustufen. Betroffen sind Confluence-Versionen bis hinauf zu Confluence 5.5.1 In Confluence 5.5.2 ist das Problem behoben.

Weitere Infos bietet die Sicherheitsmeldung von Atlassian zu Confluence.

Bamboo: ClassLoader-Manipulation

Auch in Bamboo basiert die Lücke auf Apache Struts. Angreifer können diese Lücke missbrauchen, um beliebigen Java-Code auf Systemen auszuführen, die diese Frameworks nutzen. Dazu muss der Angreifer auf die Web-Oberfläche von Bamboo zugreifen können. Sofern anonymer Zugriff auf die Bamboo-Instanz aktiviert ist, benötigt der Angreifer keinen Nutzer-Account, um die Schwachstelle auszunutzen.

Die Lücke ist als kritisch einzustufen. Betroffen sind Bamboo-Versionen bis hinauf zu Bamboo 5.5. In Bamboo 5.6 ist das Problem behoben.

Weitere Infos bietet die Sicherheitsmeldung von Atlassian zu Bamboo.

Crowd: ClassLoader-Manipulation

In Crowd basiert die Lücke ebenfalls auf Apache Struts. Angreifer können diese Lücke missbrauchen, um beliebigen Java-Code auf Systemen auszuführen, die diese Frameworks nutzen. Dazu muss der Angreifer auf die Web-Oberfläche von Crowd zugreifen können. Sofern anonymer Zugriff auf die Crowd-Instanz aktiviert ist, benötigt der Angreifer keinen Nutzer-Account, um die Schwachstelle auszunutzen.

Die Lücke ist als kritisch einzustufen. Betroffen sind alle Crowd-Versionen bis hinauf zu Crowd 2.7. Nicht betroffen sind Crowd 2.5.7, 2.6.7 und 2.7.2.

Weitere Infos bietet die Sicherheitsmeldung von Atlassian zu Crowd.

FishEye und Crucible: Reset des Admin-Passworts

Die Lücke versetzt einen nicht autorisierten User in die Lage, das Admin-Passwort für FishEye bzw. Crucible auf einen beliebigen Wert zu setzen und so Admin-Zugriff auf die FishEye- bzw. Crucible-Instanz zu erlangen.

Die Lücke ist als kritisch einzustufen. Betroffen sind die FishEye- bzw. Crucible-Versionen 3.x. Frühere Versionen als 3.0 sind nicht betroffen. In den Releases 3.0.4, 3.1.7, 3.2.5, 3.3.4 und 3.4.4. ist das Problem behoben.

Weitere Infos bieten die Sicherheitsmeldungen von Atlassian zu FishEye und Crucible.

Besser Updates als Patches

Für die im Rahmen von Atlassians End-of-life-Policy unterstützten Produktversionen hat Atlassian auch Patches zur Verfügung gestellt, die die oben beschriebenen Sicherheitslücken schließen. Allerdings sind reguläre Produkt-Updates Patches dringend vorzuziehen, da es sich bei diesen lediglich um Interimslösungen handelt. Sie können die Zeit bis zum Update kurzfristig überbrücken, eine Aktualisierung aber nicht ersetzen.

Mittelfristig werden gepatchte Systeme zu Problemen führen, da Patches oftmals nicht kumulativ sind. Daher ist es nicht empfehlenswert, Patches aus verschiedenen Sicherheitshinweisen übereinander zu installieren, sondern stattdessen regelmäßig Updates auf die neuesten Versionen einzuspielen. Als Kunde mit einem gültigen Support-Vertrag sind Sie zu kostenfreien Aktualisierungen berechtigt.

Wir unterstützen Sie gerne!

Haben sie Fragen zu diesen Sicherheitsaspekten und/oder benötigen Sie Unterstützung beim Update? Bitte sprechen Sie uns an – wir beraten Sie gerne unverbindlich zum Thema Lizenzierung und Updates. Sie erreichen unsere Experten für Atlassian-Lizenzen zu den üblichen Geschäftszeiten unter der Telefonnummer 0611 205 70 42.

//SEIBERT/MEDIA ist offizieller Vertriebspartner von Atlassian und einer der größten Atlassian Experts Partner weltweit. Wir helfen Ihnen bei allen Aspekten rund um die Einführung und den Betrieb Ihrer Atlassian-Produkte – von der Lizenzierung bis hin zur Sicherheitsoptimierung.

Weiterführende Infos

Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen