Die Produktsicherheit hat für Atlassian höchste Priorität. Der Hersteller versteht dieses Thema traditionell als kontinuierlichen Prozess und führt deshalb regelmäßig umfangreiche Sicherheitstests durch. Dabei werden immer mal wieder potenzielle, manchmal auch schwererwiegende Problemquellen aufgedeckt, für die Atlassian dann schnell Bugfix- und Sicherheits-Releases zur Verfügung stellt.
Für die Kunden ist das meist lästig, denn sie stehen unter Zugzwang und Updates sind immer mit einem gewisser Aufwand verbunden. Aber keine Software ist fehlerfrei - und es ist auf jeden Fall besser, dass ein Bug entdeckt, kommuniziert und behoben wird, als dass er weiter mit all seinen Risiken unterm Radar fliegt.
Bei aktuellen Untersuchungen hat Atlassian nun eine bisher unerkannte Sicherheitslücke in den Produkten Confluence Server und Confluence Data Center aufgedeckt. Sie wird als kritisch eingestuft. Aufgrund der Schwere des Bugs empfiehlt Atlassian den betroffenen Kunden dringend, so bald wie möglich aktuelle Produktversionen einzuspielen, in denen das Problem behoben ist. Zusätzlich kann in manchen Umgebungen ein Workaround umgesetzt werden, um die Systeme abzusichern.
Updates schützen
Die Lücke betrifft sowohl die Server- als auch die Data-Center-Variante. Außerdem muss der Angreifer an der entsprechenden Instanz angemeldet sein und hier bestimmte Berechtigungen besitzen. Dann besteht die Möglichkeit, eine sogenannte Path-Traversal-Verwundbarkeit in der Ressource downloadallattachments auszunutzen, die es erlaubt, Dateien in das System einzubringen und schädlichen Code auszuführen.
Von dieser Verwundbarkeit sind die folgenden Confluence-Versionen betroffen:
- 2.0.0 und aufwärts bis inklusive 6.6.12
- 6.7.0 und aufwärts bis inklusive 6.12.3
- 6.13.0 und aufwärts bis inklusive 6.13.3
- 6.14.0 und aufwärts bis inklusive 6.14.2
- 6.15.0 und aufwärts bis inklusive 6.15.1
In diesen Produktversionen von Confluence Server und Confluence Data Center ist die Sicherheitslücke geschlossen:
- 6.6.13
- 6.12.4
- 6.13.4
- 6.14.3
- 6.15.2
Im Wortlaut können Sie die aktuelle Sicherheitswarnung im öffentlichen Wiki von Atlassian nachlesen.
Jetzt alle Instanzen schützen
Wie oben erwähnt, betrifft die aktuelle Sicherheitslücke Server- und Data-Center-Instanzen. Außerdem muss ein Angreifer über Login-Daten verfügen und gewisse Berechtigungen haben. Die Einstufung des Bugs als kritisch und die möglicherweise schwerwiegenden Folgen legen es nahe, alle Instanzen, die auf gefährdeten Produktversionen basieren, auf den neusten Stand zu bringen.
Ihre Handlungsoptionen
Der effektivste Weg, ihr Confluence-System zu schützen, besteht darin, eine aktualisierte Produktversion zu installieren (siehe die oben angeführten Releases). Damit ist Ihr System wieder auf der sicheren Seite.
Allerdings sind Update-Prozesse in manchen Organisationen langwierig und aufwändig. Falls eine Software-Aktualisierung nicht kurzfristig möglich ist, sollten Sie als temporären Workaround auf jeden Fall zumindest die downloadallattachments-Ressource deaktivieren und die betroffene URL blockieren. Das entsprechende Vorgehen hat Atlassian hier Schritt für Schritt beschrieben.
Mit Kunden, die bei //SEIBERT/MEDIA Betriebspakete besitzen, haben wir uns bereits proaktiv in Verbindung gesetzt, um schnellstmöglich entsprechende Updates vorzunehmen. In den Systemen unserer Kunden ist der angesprochenen Workaround auch bereits implementiert.
Haben Sie Fragen oder benötigen Sie Unterstützung bei der Aktualisierung durch unsere Atlassian-Experten? Dann melden Sie sich per E-Mail an vertrieb@seibert-media.net oder telefonisch unter 0611-20570-42 bei uns! Wir helfen Ihnen gerne, so bald es unsere Kapazitäten zulassen.
Weiterführende Infos
Betriebspakete zu Ihren Atlassian-Anwendungen
Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen
Artikelbild auf der Startseite von Soumil Kumar unter Pexels Lizenz
