Datenschutz & Sicherheit

Sicherheitspatches Atlassian: Bamboo, Confluence & Co. sind verwundbar


Angreifer können an mehreren Softwareschwachstellen unter anderem in Atlassian Bamboo Data Center and Server, Confluence Data Center and Server und Jira Data Center and Server ansetzen und betroffene Systeme im schlimmsten Fall vollständig kompromittieren. Sicherheitsupdates sind verfügbar.

Weiterlesen nach der Anzeige

Bislang gibt es seitens des Softwareherstellers keine Warnungen, dass Angreifer die Schwachstellen bereits ausnutzen. Das kann sich aber schnell ändern, sodass Admins bald reagieren sollten. Die gegen die im Folgenden geschilderten Angriffe gerüsteten Ausgaben sind am Ende dieser Meldung aufgelistet.

Unterschiedliche Gefahren

Im Sicherheitsbereich seiner Website hat Atlassian die nun geschlossenen Sicherheitslücken und konkret bedrohten Versionen aufgelistet. Am gefährlichsten gilt eine „kritische“ Schwachstelle (CVE-2026- 22732) im Sicherheitsframework Spring Security, das Jira Data Center and Server nutzt. An dieser Stelle können Angreifer im Kontext von HTTP-Headern Instanzen attackieren und etwa auf eigentlich abgeschottete Daten zugreifen. Wie ein solcher Angriff konkret ablaufen könnte, ist bislang nicht bekannt.

Die verbleibenden Schwachstellen sind alle mit dem Bedrohungsgrad „hoch“ eingestuft. Hier können Angreifer etwa im Rahmen von Fisheye/Crucible aus der Ferne Schadcode ausführen (etwa CVE-2026-27830). Attackieren Angreifer Confluence Data Center and Server erfolgreich, kann es zu Abstürzen kommen (CVE-2026-29062) oder Daten können leaken (CVE-2026-29146).

Die Entwickler versichern, die Fehler in den folgenden Versionen bereinigt zu haben:

  • Bamboo Data Center and Server 12.1.7 (LTS) recommended Data Center Only, 10.2.19 (LTS) Data Center Only, 9.6.26 (LTS) Data Center Only
  • Bitbucket Data Center and Server 10.2.2 to 10.2.3 (LTS) recommended Data Center Only, 9.4.19 to 9.4.20 (LTS) Data Center Only
  • Confluence Data Center and Server 10.2.11 (LTS) recommended Data Center Only, 9.2.20 (LTS) Data Center Only
  • Fisheye/Crucible 4.9.10 recommended
  • Jira Data Center and Server 11.3.5 to 11.3.6 (LTS) recommended Data Center Only, 10.3.20 to 10.3.21 (LTS) Data Center Only, 9.12.35 (LTS)
  • Jira Service Management Data Center and Server 11.3.5 to 11.3.6 (LTS) recommended Data Center Only, 10.3.20 to 10.3.21 (LTS) Data Center Only

Weiterlesen nach der Anzeige


(des)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen