Bamboo, Confluence, Jira und Co.: Atlassian schließt hochriskante Lücken
Atlassian hat Updates für zahlreiche Produkte veröffentlicht. Sie schließen als hohes Risiko geltende Sicherheitslücken etwa in Bambo, Confluence und Jira.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Atlassian hat in dieser Woche mehrere Produkte mit Updates versehen. Die stopfen Sicherheitslücken darin, die vom Unternehmen als hohes Risiko eingestuft werden.
Insgesamt bessert Atlassian neun hochriskante Schwachstellen aus. Die schwerwiegendsten Lücken betreffen Crowd Data Center und Server, es handelt sich um Server Side Request Forgery-Schwachstellen (CVE-2024-22243, CVE-2024-22259, CVE-2024-22262; alle CVSS 8.1, Risiko "hoch"). Die Versionen 5.1.11, 5.2.6 und 5.2.7, 5.3.3 von Crowd sowie 6.0.0 und 6.0.1 nur des Crowd Data Center stopfen die Lecks.
Weitere betroffene Produkte
Im Bamboo Data Center und Server können Angreifer Code einschleusen (CVE-2024-21689, CVSS 7.6, hoch) oder eine Denial-of-Service-Bedingung provozieren (CVE-2024-29857, CVSS 7.5, hoch). Bamboo 9.2.17 (LTS) sowie 9.6.5 (LTS) nur des Data Centers korrigieren die sicherheitsrelevanten Fehler.
Confluence Data Center und Server sind hingegen von einer Denial-of-Service-Lücke betroffen (CVE-2024-34750, CVSS 7.5, hoch). Zudem können Angreifer eine Reflected Cross-Site-Scripting- sowie Cross-Site-Request-Forgery bösartig missbrauchen (CVE-2024-21690, CVSS 7.1, hoch). Die Versionen 7.19.26 (LTS), 8.5.14 (LTS) sowie 8.9.5 von Confluence bessern die Fehler aus, zudem die Versionen 9.0.1 und 9.0.2 des Data Centers.
Im Jira Data Center und Server klafft außerdem eine Denial-of-Service-Lücke (CVE-2024-34750, CVSS 7.5, hoch), die in den Versionen 9.4.25 (LTS), 9.12.12 (LTS) und im Data Center 9.17.1 sowie 9.17.2 geschlossen wird. Zudem können Angreifer im Jira Service Management Data Center und Server eine Denial-of-Service-Schwachstelle für bösartige Zwecke missbrauchen (CVE-2024-34750, CVSS 7.5, hoch). Das Update auf die Versionen 5.4.25 (LTS), 5.12.12 (LTS) und Data Center 5.17.1 oder 5.17.2 schützt davor.
Die aktualisierten Pakete stehen laut Atlassians Sicherheitsmitteilung im Software-Download-Portal zum Herunterladen zur Verfügung.
Zuletzt hatte Atlassian Mitte Juli in Bamboo Data Center und Server eine Sicherheitslücke geschlossen, durch die Angreifer Dateien ausführen und die Integrität der Softwareentwicklungsumgebung beeinträchtigen konnten.
(dmk)