Home IT Sicherheits Updates Atlassian führt Sicherheitspatch für kritische Confluence-Schwachstelle ein

Atlassian führt Sicherheitspatch für kritische Confluence-Schwachstelle ein

by nwna_de

Atlassian hat Fixes bereitgestellt, um eine kritische Sicherheitslücke zu beheben, die sich auf die Verwendung von hartcodierten Anmeldeinformationen auswirkt die Fragen für Confluence App für Confluence Server und Confluence Data Center.

Der Fehler, verfolgt als CVE-2022-26138entsteht, wenn die betreffende App für einen von zwei Diensten aktiviert wird, wodurch sie ein Confluence-Benutzerkonto mit dem Benutzernamen „disabledsystemuser“ erstellt.

Während dieses Konto laut Atlassian Administratoren dabei helfen soll, Daten von der App in die Confluence Cloud zu migrieren, wird es auch mit einem fest codierten Passwort erstellt, das das standardmäßige Anzeigen und Bearbeiten aller nicht eingeschränkten Seiten in Confluence ermöglicht.

Internet-Sicherheit

„Ein entfernter, nicht authentifizierter Angreifer mit Kenntnis des hartcodierten Passworts könnte dies ausnutzen, um sich bei Confluence anzumelden und auf beliebige Seiten zuzugreifen Confluence-Benutzergruppe Zugriff hat”, das Unternehmen sagte in einem Ratgeber und fügte hinzu, dass „das hartcodierte Passwort nach dem Herunterladen und Überprüfen der betroffenen Versionen der App trivial zu erhalten ist“.

Fragen für die Confluence-Versionen 2.7.34, 2.7.35 und 3.0.2 sind von dem Fehler betroffen, wobei Korrekturen in den Versionen 2.7.38 und 3.0.5 verfügbar sind. Alternativ können Benutzer deaktivieren oder löschen das Benutzerkonto “disabledsystem”.

Obwohl Atlassian darauf hingewiesen hat, dass es keine Hinweise auf eine aktive Ausnutzung des Fehlers gibt, können Benutzer nach Indikatoren für eine Kompromittierung suchen, indem sie die letzte Authentifizierungszeit für das Konto überprüfen. „Wenn die letzte Authentifizierungszeit für den Benutzer des deaktivierten Systems null ist, bedeutet dies, dass das Konto existiert, aber sich noch nie jemand darin angemeldet hat“, hieß es.

Unabhängig davon hat das australische Softwareunternehmen auch ein paar kritische Fehler behoben, die es als Servlet-Filter-Dispatcher-Schwachstellen bezeichnet und sich auf mehrere Produkte auswirkt –

  • Bamboo Server und Rechenzentrum
  • Bitbucket Server und Rechenzentrum
  • Confluence-Server und Rechenzentrum
  • Crowd-Server und Rechenzentrum
  • Fischauge und Schmelztiegel
  • Jira Server und Rechenzentrum und
  • Jira Service Management Server und Rechenzentrum
Internet-Sicherheit

Die erfolgreiche Ausnutzung der Fehler, die als CVE-2022-26136 und CVE-2022-26137 verfolgt werden, könnte es einem nicht authentifizierten, entfernten Angreifer ermöglichen, die von Drittanbieter-Apps verwendete Authentifizierung zu umgehen, beliebigen JavaScript-Code auszuführen und die ursprungsübergreifende Ressourcenfreigabe zu umgehen (KOR) Browsermechanismus durch Senden einer speziell gestalteten HTTP-Anfrage.

„Atlassian hat Updates veröffentlicht, die die Grundursache dieser Schwachstelle beheben, hat aber nicht alle möglichen Folgen dieser Schwachstelle erschöpfend aufgezählt“, so das Unternehmen gewarnt in seiner Empfehlung zu CVE-2022-26137.

Aktualisieren: Atlassian warnte am Donnerstag davor, dass die kritische Schwachstelle der Questions For Confluence-App wahrscheinlich in freier Wildbahn ausgenutzt wird, nachdem das hartcodierte Passwort öffentlich bekannt wurde, und forderte seine Kunden auf, das Problem so schnell wie möglich zu beheben.

„Eine externe Partei hat das hartcodierte Passwort auf Twitter entdeckt und veröffentlicht“, sagte das Unternehmen. “Es ist wichtig, diese Schwachstelle auf betroffenen Systemen sofort zu beheben.”

Die Softwarefirma betonte auch, dass die Deinstallation der Questions for Confluence-App die Schwachstelle nicht behebe, da das erstellte Konto nach der Deinstallation der App nicht automatisch entfernt werde. Stattdessen wird Benutzern empfohlen, entweder auf die neueste Version der App zu aktualisieren oder das Konto manuell zu deaktivieren oder zu löschen.

Via HN