[Warning] Kritische Sicherheitslücke in Confluence Data Center und Confluence Server

Michael Schlagenhaufer schlagenhaufer at cert.at
Tue Oct 31 12:02:48 CET 2023 

    31. Oktober 2023

Beschreibung

    In allen Versionen von Confluence Data Center und Confluence Server
    existiert eine kritische Sicherheitslücke.

    CVE-Nummer: CVE-2023-22518
    CVSS: 9.1

Auswirkungen

    Das Ausnutzen der Sicherheitslücke auf betroffenen Geräten ermöglicht
    nicht authentifizierten Angreifern den Zugriff auf interne Daten des
    Systems.

    Obwohl Atlassian bislang keine Informationen zur aktiven Ausnutzung der
    Lücke hat, wird das zeitnahe Einspielen der verfügbaren Patches
    empfohlen.

Betroffene Systeme

      * Confluence Data Center (alle Versionen)
      * Confluence Server (alle Versionen)

    Für nicht mehr unterstützte ("End of life") Produkte, für die es keine
    Updates mehr geben wird, empfiehlt Atlassian ein Update auf neuere
    Versionen welche die Lücke beheben.

Abhilfe

    Einspielen der von Atlassian zur Verfügung gestellten
    Patches. Instanzen, die über das Internet erreichbar sind, sollten vom
    Netzwerkzugriff ausgeschlossen werden, bis ein Patch durchgeführt
    werden kann.

Hinweis

    Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
    dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
    Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
    Auch der Zugang zu Management-Interfaces sollte [97]streng limitiert
    sein.
      __________________________________________________________________

Informationsquelle(n):

    Atlassian Advisory (englisch):
    https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

    Jira-Ticket CONFSERVER-93142:
    https://jira.atlassian.com/browse/CONFSERVER-93142



-- 
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20231031/3bb6b5e6/attachment.sig>

More information about the Warning mailing list