Gefahr von File Disclosure: Kritische Sicherheitslücke in Confluence Server und Data Center behoben

In diesem Jahr scheint Atlassian besonders intensiv am Thema Produktsicherheit zu arbeiten. Bei diesen kontinuierlichen Sicherheitstests kommt es vor, dass die Security-Teams oder externe Tester Problemquellen aufdecken, die potenzielle Bedrohungen darstellen. Für solche festgestellten Risiken schiebt Atlassian dann schnell aktualisierte Releases nach, in denen die Probleme gelöst sind.

Im Grunde ist das ja gut: Jedes entschärfte Sicherheitsproblem senkt die Gefahr von Angriffen und Vorfällen. Für Kunden im Produktivbetrieb gehen damit aber leider ein paar nicht so schöne Begleiterscheinungen einher: Die Instanz muss (am besten kurzfristig) auf eine bereinigte Software-Version aktualisiert werden, was Ressourcen bindet und Aufwand verursacht.

Aber moderne Enterprise-Software ist eben komplex. Dass ein Bug erkannt, kommuniziert und behoben wird, ist immer die bessere Option im Vergleich zu einem Szenario, in dem das Problem mit seinem Risikopotenzial unentdeckt bleibt.

Nun hat Atlassian einen Bug in Confluence Server und Data Center behoben, der Angreifern das Auslesen sensibler Informationen ermöglichen kann. (Confluence Cloud ist nicht betroffen.) Die Sicherheitslücke wird als kritisch eingestuft. Daher sind Kunden angehalten, so bald wie möglich Updates für ihre Systeme vorzunehmen, in denen das Problem gefixt ist. Hier finden Sie die Original-Sicherheitswarnung von Atlassian.

Gefahr von File Disclosure in der Seitenexport-Funktion

Die Sicherheitslücke betrifft eine lokale File Disclosure-Verwundbarkeit in der Seitenexport-Funktion. Dadurch hat ein Angreifer, der über die Berechtigung für das Hinzufügen von Seiten in einem Bereich verfügt, die Möglichkeit, beliebige Dateien im Verzeichnis <Installationsverzeichnis>/confluence/WEB-INF auszulesen. Dazu gehören potenziell Konfigurationsdateien für die Integration anderer Dienste, Zugangsreferenzen wie beispielsweise LDAP- oder Crowd-Daten oder andere sensible Informationen.

Um das individuelle Risiko des Bugs zu ermitteln, sollten Administratoren in ihrer Instanz das oben genannte Verzeichnis und dessen Unterverzeichnisse dahingehend prüfen, ob LDAP- oder Crowd-Referenzen (crowd.properties, atlassian-user-xml) oder andere Dateien, die sensible Daten enthalten, vorhanden sind, die in diesem Verzeichnis abgelegt wurden. Wenn das nicht der Fall ist, stellt die Sicherheitslücke im individuellen Fall keine unmittelbare Bedrohung dar. (Dennoch sollte sie kurzfristig durch ein Update gelöst werde.)

Confluence-Systeme jetzt aktualisieren und schützen

Von dem Problem sind die folgenden Versionen von Confluence Server und Data Center betroffen:

6.1.0 bis inklusive 6.6.15
6.7.0 bis inklusive 6.13.6
6.14.0 bis inklusive 6.15.7

Aufgrund der Schwere des Bugs (Einstufung als kritisch) rät Atlassian allen Kunden dringend, ihre Instanzen auf das neueste Release 6.15.8 bzw. auf eine bereinigte Enterprise-Version zu aktualisieren (6.13.7, wenn Sie eine aktuelle Confluence-Version installiert haben, respektive 6.6.16, falls eine ältere Confluence-Version im Einsatz ist). In diesen Releases ist die Sicherheitslücke behoben.

Minimalreaktion: Workaround konfigurieren

Falls es in Ihrem Unternehmen nicht möglich ist, ein baldiges Update vorzunehmen, schlägt Atlassian als minimale Reaktion den Workaround vor, über das Setzen der Systemeigenschaft atlassian.confluence.export.word.max.embedded.images die maximale Anzahl der in einem Word-Export enthaltenen Bilder auf null zu stellen. Damit wird verhindert, dass Bilder in exportierte Word-Dokumente eingebunden werden. Da sich die Sicherheitslücke genau in dieser Funktion befindet, dient das Setzen der Systemeigenschaft als Workaround. Aber Achtung: Nach der Änderung ist ein Neustart von Confluence notwendig, damit diese Änderung aktiv wird und der Workaround greift.

Dieser Workaround ist jedoch lediglich als temporäre Notlösung gedacht. Er bannt zwar die unmittelbare Gefahr, schließt die Sicherheitslücke aber nicht und kann eine Systemaktualisierung auf eine neue Produktversion nicht ersetzen.

Fragen? Unterstützung? Unser Betriebsteam hilft!

Mit Kunden, die bei //SEIBERT/MEDIA Betriebspakete besitzen, haben wir bereits proaktiv Kontakt aufgenommen, um schnellstmöglich entsprechende Software-Updates zu installieren. In den Instanzen unserer Kunden ist der oben beschriebene Workaround auch bereits umgesetzt.

Haben Sie Fragen oder brauchen Sie Unterstützung bei der Aktualisierung durch unsere Experten für den Betrieb von Atlassian-Systemen? Dann melden Sie sich per E-Mail an vertrieb@seibert-media.net oder telefonisch unter 0611-20570-42 bei uns! Unser Team ist gerade stark eingespannt, aber wir helfen Ihnen gerne, so bald es die Kapazitäten zulassen!

Weiterführende Infos

Informationen zum Security Advisory bei Atlassian
Betriebspakete zu Ihren Atlassian-Anwendungen
Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen

Artikelbild auf der Startseite von Soumil Kumar unter Pexels Lizenz