Heute hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke veröffentlicht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht.
Problembeschreibung
Im konkreten Fall kann ein Angreifer mit Zugang zum Confluence-System beliebigen Java-Code ausführen. Wenn Confluence für den anonymen Zugang konfiguriert ist, benötigt der Angreifer keinen gültigen Nutzeraccount.
Betroffen sind alle Confluence Versionen von 3.5 bis 5.1.4. Weitere Atlassian-Anwendungen sind nicht betroffen.
Problemlösung
Atlassian bietet die folgenden Optionen zur Eindämmung des Problems an:
Empfehlung: Upgrade auf Confluence 5.1.5
Wie üblich hat Atlassian ein Update für Confluence veröffentlicht. Die Version 5.1.5 ist nicht mehr von der Sicherheitslücke betroffen. Systeme, bei denen ein Upgrade problemlos möglich ist, sollten alsbald aktualisiert werden.
Einspielen eines Patches
Für den Fall, dass das Upgrade nicht kurzfristig möglich ist, hat Atlassian einen Patch bereitgestellt. Dieser kann auf der Beschreibungsseite der Sicherheitslücke heruntergeladen werden. Dort finden sich auch die Anleitung zur Einspielung und weitere Informationen.
Workaround: URL-Blockade
Eine dritte Möglichkeit ist die Blockierung von URLs, die die Zeichenkette “${” enthalten, durch die Firewall oder am Reverse Proxy. Atlassian stuft diese Variante jedoch nur als zeitweise Übergangslösung ein. Weitere Details finden sich ebenfalls auf der Beschreibungsseite der Sicherheitslücke.
Unsere Leistung für Sie
 |
Communardo ist Atlassian Enterprise und Platinum Expert und berät Sie gern zu Fragen rund um die Atlassian Produkte (JIRA, Confluence, DevTools, etc.). Zudem können Sie über uns direkt Lizenzen erwerben. |