Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Bitbucket, Confluence & Co.: Atlassian schließt DoS- und Schadcode-Lücken

Atlassians Entwickler haben Sicherheitslücken in Bamboo, Bitbucket, Confluence, Crowd Data, Jira, Jira Service Management und Sourcetree geschlossen.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Update-Taste auf Keyboard

(Bild: Shutterstock)

Lesezeit: 2 Min.
Security
Von

Angreifer können PCs mit Anwendungen von Atlassian attackieren und Systeme im schlimmsten Fall kompromittieren. Sicherheitspatches stehen zum Download bereit.

Verschiedene Gefahren

Die geschlossenen Lücken sind in einer Warnmeldung aufgelistet. Alle sind mit dem Bedrohungsgrad "hoch" eingestuft. Nutzen die Angreifer die Schwachstellen erfolgreich aus, können sie unter anderem DoS-Zustände erzeugen oder sogar Schadcode ausführen.

Um die Lücken auszunutzen, müssen Angreifer unter anderem mit präparierten Signaturen oder speziellen HTTP/2-Anfragen arbeiten. Das klappt den Beschreibungen zufolge in vielen Fällen ohne Authentifizierung. Wie solche Angriffe im Detail ablaufen könnten, führen die Entwickler zurzeit aber nicht aus.

Jetzt abgesicherte Version installieren

Bislang gibt es keine Berichte zu bereits laufenden Attacken. Admins sollten aber mit dem Installieren der Sicherheitsupdates nicht zu lange warten. Leider gibt es bislang keine Hinweise darauf, an welchen Indicator of Compromise (IoC) Admins schon attackierte Instanzen erkennen können.

Atlassian gibt an, dass die folgenden Ausgaben gegen die geschilderten Attacken abgesichert sind. Die verwundbaren Versionen listet der Anbieter von Softwarelösungen in der Warnmeldung auf.

  • Bamboo Data Center und Server 9.2.20 (LTS), 9.6.8 (LTS) empfohlen (nur Data Center), 10.0.3 (nur Data Center
  • Bitbucket Data Center und Server 8.9.14 bis 8.9.21 (LTS, 8.19.3 bis 8.19.11 (LTS) empfohlen (nur Data Center), 9.0.0 bis 9.0.1 (nur Data Center)
  • Confluence Data Center und Server 7.19.29 (LTS), 8.5.17 (LTS) empfohlen (nur Data Center), 8.9.8 (nur Data Center), 9.1.1 (nur Data Center)
  • Crowd Data Center und Server 5.3.6 (nur Data Center), 6.0.3 bis 6.0.4 (nur Data Center), 6.1.1 bis 6.1.2 empfohlen (nur Data Center)
  • Jira Data Center und Server 9.4.28 (LTS), 9.12.15 (LTS) empfohlen (nur Data Center), 9.17.4 bis 9.17.5 (nur Data Center), 10.1.1 bis 10.1.2 (nur Data Center)
  • Jira Service Management Data Center und Server 5.4.28 (LTS), 5.12.15 (LTS) empfohlen, 10.1.1 bis 10.1.2 (nur Data Center)
  • Sourcetree (macOS) 4.2.9
  • Sourcetree (Windows) 3.4.19

(des)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten