Sicherheitsupdates: Atlassian Bitbucket, Confluence & Co. attackierbar
Angreifer können an mehreren Schwachstellen in Software von Atlassian ansetzen und sie via DoS-Attacke abstürzen lassen.
(Bild: Shutterstock)
Atlassian Bamboo, Bitbucket, Confluence und Crowd Data Center und Server sind verwundbar, sie enthalten Schwachstellen. Sicherheitspatches schließen mehrere Softwareschwachstellen. Admins sollten zeitnah handeln.
DoS-Sicherheitslücken
Aus einer Warnmeldung von Atlassian geht hervor, dass alle nun geschlossenen Lücken (CVE-2024-34750, CVE-2024-32007, CVE-2024-29857, CVE-2024-22871) mit dem Bedrohungsgrad "hoch" eingestuft sind. An den Schwachstellen können Angreifer für DoS-Attacken ansetzen. Klappt so ein Angriff, stürzt Software in der Regel ab und Dienste sind dementsprechend nicht erreichbar.
In diesen Fällen müssen Angreifer dafür etwa präparierte HTTP-Anfragen verschicken, sodass es zu Fehlern und letztlich Abstürzen kommt. Ob es bereits Attacken gibt, ist bislang unklar. Leider listet Atlassian keine Parameter auf, an denen Admins bereits attackierte Systeme erkennen können.
Welche Ausgaben konkret bedroht sind, können Admins in der Warnmeldung nachlesen. Um PCs zu schützen, müssen sie die folgenden Versionen installieren:
- Bamboo Data Center und Server 9.2.17 bis 9.2.18 (LTS), 9.6.4 bis 9.6.6 (LTS) (nur Data Center empfohlen), 10.0.0 bis 10.0.1 (nur Data Center)
- Bitbucket Data Center und Server 8.9.19 (LTS), 8.19.9 (LTS) (nur Data Center empfohlen), 9.0.0 bis 9.0.1 (nur Data Center)
- Confluence Data Center und Server 7.19.26 (LTS), 8.5.12 bis 8.5.15 (LTS), 8.9.4 bis 8.9.6 (nur Data Center), 9.0.1 bis 9.0.3 (nur Data Center)
- Crowd Data Center und Server 5.2.6 bis 5.2.8, 5.3.2 bis 5.3.4 (nur Data Center)
Atlassian weist darauf hin, dass die Sicherheitsupdates nicht für Versionen erscheinen, die keinen Support mehr bekommen. In so einem Fall müssen Admins auf eine unterstützte Version upgraden.
Bereits vor einem Monat hatte Atlassian ebenfalls Updates für zahlreiche Produkte veröffentlicht. Sie schlossen als hohes Risiko geltende Sicherheitslücken etwa in Bambo, Confluence und Jira.
(des)