Sicherheitslücken: Attacken auf Atlassian Confluence & Co. möglich
Sicherheitslücken bedrohen mehrere Anwendungen von Atlassian. Angreifer können Abstürze auslösen oder unbefugt Daten einsehen.
(Bild: Alfa Photo/Shutterstock.com)
Admins, die Installationen von Atlassian Confluence Data Center und Server, Fisheye/Crucible, Jira Data Center und Server oder Jira Service Management Data Center und Server in Unternehmen verwalten, sollten zeitnah die verfügbaren Sicherheitspatches installieren. Andernfalls können Angreifer verwundbare Systeme ins Visier nehmen.
Mehrere Sicherheitslücken
Wie aus einer Warnmeldung hervorgeht, haben die Entwickler insgesamt neun Schwachstellen geschlossen, die alle mit dem Bedrohungsgrad "hoch" eingestuft sind. Daran können Angreifer unter anderem für DoS-Attacken (CVE-2024-29131, CVE-2024-29133, CVE-2024-25647) ansetzen und so die Software zum Absturz bringen. Darüber hinaus sind noch unberechtigte Zugriffe auf Informationen vorstellbar (CVE-2024-21685). Für erfolgreiche Attacken müssen Angreifer nicht authentifiziert sein.
Die Entwickler geben an, die Lücken in den folgenden Versionen geschlossen zu haben:
- Confluence Data Center und Server 7.19.24 (LTS), 8.5.11 (LTS), 8.9.3 (nur Data Center)
- Fisheye/Crucible 4.8.15
- Jira Data Center und Server 9.4.21 bis 9.4.23 (LTS), 9.12.8 bis 9.12.10 (LTS), 9.16.0 bis 9.16.1 (nur Data Center)
- Jira Service Management Data Center und Server 5.4.21 bis 5.4.23 (LTS), 5.12.8 bis 5.12.10 (LTS), 5.16.0 bis 5.16.1 (nur Data Center)
Atlassian weist darauf hin, dass es für nicht mehr im Support befindliche Ausgaben keine Sicherheitsupdates gibt. Wer so eine Version einsetzt, muss ein Upgrade durchführen. Bislang gibt es keine Informationen zu bereits laufenden Attacken. Admins sollten mit der Installation der abgesicherten Versionen dennoch nicht allzu lange warten.
(des)
