Atlassian hat mehrere Hinweise zu kritischen Sicherheitslücken für die Produkte Confluence, Fisheye/Crucible, Bamboo und Crowd veröffentlicht. Weitere Produkte, wie Stash oder JIRA, sind nicht betroffen.
Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht.
Problembeschreibung
Confluence, Bamboo und Crowd
Die Sicherheitslücke erlaubt es Angreifern beliebigen Java-Code auf dem System auszuführen.
Fisheye/Crucible
Die Sicherheitslücke erlaubt es, selbst anonymen Angreifern, das Administratorpasswort zu ändern und somit Administrationszugriff auf das System zu erlangen.
Die Sicherheitshinweise
Eine genaue Beschreibung der Lücken für die einzelnen Produkte ist unter folgenden Links zu finden:
- Sicherheitshinweis für Confluence
- Sicherheitshinweis für Bamboo
- Sicherheitshinweis für Crowd
- Sicherheitshinweis für Crucible
- Sicherheitshinweis für Fisheye
Problemlösung
Atlassian empfiehlt die Aktualisierung der Software auf die folgenden Versionen oder neuer. Sollte eine Aktualisierung nicht möglich sein, dann ist es möglich für einige der Produkte Patches für ältere Versionen einzuspielen:
- Confluence: 5.5.1 (Patch für ältere Versionen ist verfügbar)
- Fisheye und Crucible: 3.0.4, 3.1.7, 3.2.5, 3.3.4, 3.4.4, 3.5.0 (Es sind keine Patches für ältere Versionen verfügbar)
- Bamboo: 5.4.3, 5.5.1, 5.6 (Patch für ältere Versionen ist verfügbar)
- Crowd: 2.4.12, 2.5.7, 2.6.7, 2.7.2 (Es sind keine Patches für ältere Versionen verfügbar)
