[Warning] Kritische Sicherheitslücke in Confluence Data Center und Confluence Server
Michael Schlagenhaufer
schlagenhaufer at cert.at
Tue Oct 31 12:02:48 CET 2023
31. Oktober 2023
Beschreibung
In allen Versionen von Confluence Data Center und Confluence Server
existiert eine kritische Sicherheitslücke.
CVE-Nummer: CVE-2023-22518
CVSS: 9.1
Auswirkungen
Das Ausnutzen der Sicherheitslücke auf betroffenen Geräten ermöglicht
nicht authentifizierten Angreifern den Zugriff auf interne Daten des
Systems.
Obwohl Atlassian bislang keine Informationen zur aktiven Ausnutzung der
Lücke hat, wird das zeitnahe Einspielen der verfügbaren Patches
empfohlen.
Betroffene Systeme
* Confluence Data Center (alle Versionen)
* Confluence Server (alle Versionen)
Für nicht mehr unterstützte ("End of life") Produkte, für die es keine
Updates mehr geben wird, empfiehlt Atlassian ein Update auf neuere
Versionen welche die Lücke beheben.
Abhilfe
Einspielen der von Atlassian zur Verfügung gestellten
Patches. Instanzen, die über das Internet erreichbar sind, sollten vom
Netzwerkzugriff ausgeschlossen werden, bis ein Patch durchgeführt
werden kann.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Auch der Zugang zu Management-Interfaces sollte [97]streng limitiert
sein.
__________________________________________________________________
Informationsquelle(n):
Atlassian Advisory (englisch):
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html
Jira-Ticket CONFSERVER-93142:
https://jira.atlassian.com/browse/CONFSERVER-93142
--
// Michael Schlagenhaufer <schlagenhaufer at cert.at> - T: +43 1 5056416
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20231031/3bb6b5e6/attachment.sig>
More information about the Warning
mailing list