Kritische Sicherheitslücke in Confluence Data Center und Confluence Server

31. Oktober 2023

Beschreibung

In allen Versionen von Confluence Data Center und Confluence Server existiert eine kritische Sicherheitslücke.

CVE-Nummer: CVE-2023-22518
CVSS: 9.1

Auswirkungen

Das Ausnutzen der Sicherheitslücke auf betroffenen Geräten ermöglicht nicht authentifizierten Angreifern den Zugriff auf interne Daten des Systems.

Obwohl Atlassian bislang keine Informationen zur aktiven Ausnutzung der Lücke hat, wird das zeitnahe Einspielen der verfügbaren Patches empfohlen.

Betroffene Systeme

• Confluence Data Center (alle Versionen)
• Confluence Server (alle Versionen)

Für nicht mehr unterstützte ("End of life") Produkte, für die es keine Updates mehr geben wird, empfiehlt Atlassian ein Update auf neuere Versionen welche die Lücke beheben.

Abhilfe

Einspielen der von Atlassian zur Verfügung gestellten Patches. Instanzen, die über das Internet erreichbar sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis ein Patch durchgeführt werden kann.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. Auch der Zugang zu Management-Interfaces sollte streng limitiert sein.

Informationsquelle(n):

Atlassian Advisory (englisch):
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

Jira-Ticket CONFSERVER-93142:
https://jira.atlassian.com/browse/CONFSERVER-93142