Kritische Sicherheitslücken in Confluence, Bamboo und FishEye/Crucible geschlossen: Jetzt Upgrades einspielen!

Am 21.01.2015 hat Atlassian eine Sicherheitswarnung für einige seiner Produkte herausgegeben. Betroffen sind Confluence, Bamboo sowie FishEye und Crucible. Es besteht eine Sicherheitslücke, die es Angreifern ermöglicht, beliebigen Java-Code in einer Instanz auszuführen und so das System zu manipulieren und Daten auszulesen. Das Leck wird als kritisch eingestuft. Atlassian empfiehlt dringend Upgrades auf die neuesten Versionen der betroffenen Software-Produkte, mindestens jedoch sollten die verfügbaren Patches eingespielt werden.

Jetzt Upgrade oder zumindest Patch einspielen

Im Detail sind folgende Aktionen möglich, um die Sicherheitslücke zu beheben:

  • Für Confluence stellt Atlassian Fixes für die Versionen 5.5 und 5.6 zur Verfügung, die durch ein Upgrade auf die Wartungs-Releases 5.5.7 bzw. 5.6.6 deployt werden können. Für die Versionen 4.3 bis 5.4 werden Patches angeboten.
  • Für Bamboo stehen Fixes für die Version 5.7 zur Verfügung, die durch ein Upgrade auf die Wartungs-Releases 5.7.1 bzw. 5.7.2 deployt werden können. Für die Versionen 5.1 bis 5.6 bietet Atlassian Patches an.
  • Für FishEye und Crucible gibt es Fixes für die Releases 3.5 und 3.6, die durch ein Upgrade auf die Wartungs-Releases 3.5.5 und 3.6.2 bzw. 3.6.3 deployt werden können. Patches für frühere Versionen gibt es nicht.

Im Wortlaut können Sie die Sicherheitsmeldungen im öffentlichen Wiki von Atlassian nachlesen:

Patches nur als Notlösung

Bitte beachten Sie, dass das Einspielen von Patches von Atlassian nicht als dauerhafte Lösung empfohlen wird. Zudem sollten Patches nur installiert werden, wenn noch keine anderen Patches eingespielt wurden, weil mehrere Patches zu Konflikten führen und die Schutzwirkung aufheben können. Grundsätzlich gilt also: Patchen sollten Sie höchstens zur Überbrückung und dann möglichst bald ein Upgrade auf die neueste Version installieren.

Besser alle Instanzen schützen

Der Bug betrifft Instanzen, die über das Internet erreichbar sind. Zudem ist es erforderlich, dass der Angreifer in der jeweiligen Instanz angemeldet ist. Aufgrund der Schwere der Sicherheitslücke und der möglicherweise gravierenden Folgen sollten jedoch alle Installationen von Confluence, Bamboo sowie FishEye und Crucible geschützt werden.

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Aktualisierung durch unsere Atlassian-Experten? Dann melden Sie sich per E-Mail an vertrieb@seibert-media.net oder telefonisch unter 0611-20570-42 bei uns! Wir stehen Ihnen gerne zur Verfügung.

Weiterführende Infos

Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen
//SEIBERT/MEDIA ist Atlassian Platinum Expert