Das Blockieren von Werbung entzieht uns die Finanzierung!
Das Recherchieren und Verfassen von Artikeln kostet viel Zeit. Das Betreiben unserer Infrastruktur kostet Geld.
All das wird mit Werbeeinnahmen finanziert.
Wir mögen Werbung ebenso wenig – deswegen verzichten wir auf nervige Banner und Pop-Ups.
Bitte gib uns eine Chance und deaktiviere Deinen Adblocker!
Alternativ kannst Du uns hier freiwillig unterstützen.
Sprache:  Deutsch English (Beta)

Folgen:

Kritische Confluence Sicherheitslücke: IT-Admins sollten schnell handeln

Confluence Logo
Bild: Atlassian
(Beitragsbild: © 2021 Atlassian)

Atlassian hat heute Nacht unserer Zeit eine kritische Confluence Sicherheitslücke per E-Mail an alle Kunden gemeldet. IT-Admins der Atlassian-Software Confluence sollten dringend handeln. Entsprechende Patches zur Absicherung der Systeme stehen mittlerweile bereit. Wir haben die jetzt notwendigen Schritte zusammengefasst.

Neben Sicherheitslücken bei Exchange Servern, gibt es auch bei weiteren, populären Software-Tools immer wieder Lücken. So meldet Atlassian für Confluence Server und Confluence Data Center „CVE-2022-26134 – Critical severity unauthenticated remote code execution vulnerability„. Also einer kritischen Sicherheitslücke, mit derer es auch nicht authentifizierten Nutzern von der Ferne möglich ist, Code auf dem Server auszuführen. Autsch.

Update um 22:25 Uhr: Wir haben den Artikel mit den neuesten Informationen von Atlassian ergänzt.

Confluence CVE-2022-26134: Wer ist betroffen?

Alle, ja, wirklich alle. Atlassian spricht von allen supporteten Instanzen, später – dann genauer – von Version 1.3.0 und höher. So sollten wirklich alle Confluence-Instanzen angreifbar sein. Auch die Variante, also ob Confluence Server oder Confluence Data Center, spielt keine Rolle. Aufatmen können einzig und allein Kunden der Atlassian Cloud: Die dort eingesetzten Confluence-Server sind nicht verwundbar und sicher. Confluence-Instanzen, die in der URL mit .atlassian.com enden, werden in der Cloud gehostet. Das Security-Unternehmen Volexity hat diese Lücke identifizieren und nachstellen können, anschließend dann an Atlassian gemeldet.

  • Alle aktiv supporteten Confluence-Versionen (7.4 – 7.18) betroffen
  • Alle Versionen ab 1.3.0 und höher betroffen
  • Beide Confluence-Varianten, Confluence Server und Confluence Data Center, betroffen

Atlassian sollen bereits Fälle bekannt sein, bei welchen diese Lücke ausgenutzt wurde. Es bleibt also nur noch eine Frage der Zeit, bis die Angriffe – wie bei der letzten Confluence Sicherheitslücke im September 2021 – großflächig starten.

Was sollten Confluence-Admins nun tun?

Je nach Ausgangslage der eigenen Infrastruktur gibt es mehrere Möglichkeiten und Lösungen, wie vorgegangen werden muss. Angriffe laufen bereits, es sollte also schnellstmöglich gehandelt werden.

Ist die Instanz öffentlich von außen über das Internet für jeden zugänglich und können sowohl der Sicherheitspatch als auch der Workaround nicht sofort eingespielt werden, sollte der Zugriff auf Confluence sofort eingeschränkt werden. Am besten wird die Confluence-Instanz ausschließlich über das VPN oder interne Netzwerk im Unternehmen zugreifbar gemacht. Sollte es keine Möglichkeiten geben, sollte nach Empfehlung von Atlassian das Confluence Server bzw. Confluence Data Center abgeschaltet werden.

  • Zugriff auf Confluence Server bzw. Confluence Data Center von außen sofort einschränken (VPN, nur intern erreichbar machen)
  • Alternativ Confluence Server oder Data Center abschalten

Confluence Version (7.4, 7.13 – 7.18) wird genutzt: Sicherheitspatch einspielen

Admins der aktiv supporteten Versionen können seit Freitagabend einen Sicherheitspatch einspielen. Für jede Versionsstufe ab 7.4 (LTS) und von 7.13 bis 7.18 steht ein Fix bereit, welche auf folgende Versionen lauten:

  • 7.4.17
  • 7.13.7
  • 7.14.3
  • 7.15.2
  • 7.16.4
  • 7.17.4
  • 7.18.1

Die Updates können im direkt bei Atlassian heruntergeladen werden, wobei man ganz oben den jeweiligen LTS- und Latest-Release findet. Etwas weiter unten findet sich dann je nach Versionsstufe das gesuchte Update.

Kein Update möglich: Workaround nutzen

Sollte es aktuell nicht möglich sein, ein Update durchzuführen, steht je nach Confluence-Version außerdem ein temporärer Workaround zur Verfügung. Dieser schließt die Lücke ebenso wie der Sicherheitspatch, wird aber von Atlassian nur vorübergehend empfohlen.

Confluence 7.15.0 – 7.18.0

Wenn Confluence in einem Cluster betrieben wird, sind folgende Schritte auf jedem Node separat auszuführen.

  1. Confluence herunterfahren
  2. Folgende Datei auf den Server herunterladen: xwork-1.0.3-atlassian-10.jar
  3. Bereits existierendes (verwundbares) JAR-File aus dem Installationsverzeichnis löschen oder weg verschieben (Achtung – sollte ein JAR-File im Installationsverzeichnis verbleiben, bleibt die Instanz weiterhin angreifbar!):
    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3-atlassian-8.jar

    Hinweis: <confluence-install> entspricht standardmäßig /opt/atlassian/confluence

  4. Die heruntergeladene Datei stattdessen in das Verzeichnis kopieren:
    <confluence-install>/confluence/WEB-INF/lib/
  5. Berechtigungen und Owner-Attribute der Datei überprüfen, ob sie mit den anderen Dateien im gleichen Verzeichnis übereinstimmt
  6. Confluence starten

Confluence 7.0.0 – Confluence 7.14.2

Wenn Confluence in einem Cluster betrieben wird, sind folgende Schritte auf jedem Node separat auszuführen.

  1. Confluence herunterfahren
  2. Folgende drei Dateien auf den Server herunterladen:
    1. xwork-1.0.3-atlassian-10.jar
    2. webwork-2.1.5-atlassian-4.jar
    3. CachedConfigurationProvider.class
  3. Bereits existierende (verwundbare) JAR-Files aus dem Installationsverzeichnis löschen oder weg verschieben (Achtung – sollte ein JAR-File im Installationsverzeichnis verbleiben, bleibt die Instanz weiterhin angreifbar!):
    <confluence-install>/confluence/WEB-INF/lib/xwork-1.0.3.6.jar
    
    <confluence-install>/confluence/WEB-INF/lib/webwork-2.1.5-atlassian-3.jar

    Hinweis: <confluence-install> entspricht standardmäßig /opt/atlassian/confluence

  4. Beide heruntergeladene Dateien in folgendes Verzeichnis kopieren:
    <confluence-install>/confluence/WEB-INF/lib/
  5. Berechtigungen und Owner-Attribute der Dateien überprüfen, ob sie mit den anderen Dateien im gleichen Verzeichnis übereinstimmen
  6. Zu folgendem Verzeichnis wechseln:
    <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup
  7. Neuen Ordner namens „webwork“ in diesem Verzeichnis erstellen
  8. Die Datei CachedConfigurationProvider.class in folgendes Verzeichnis kopieren:
    <confluence-install>/confluence/WEB-INF/classes/com/atlassian/confluence/setup/webwork
  9. Berechtigungen und Owner-Attribute der Datei und des Ordners überprüfen, ob sie mit den anderen Dateien im gleichen Verzeichnis übereinstimmen
  10. Confluence starten

Wir halten Euch auf dem Laufenden und aktualisieren diesen Artikel regelmäßig.

Empfehlungen für Dich

>> Unterstütze uns durch einen Kauf über Amazon <<

David Wurm

Macht das TechnikNews-Ding gemeinsam mit einem tollen Team schon mehrere Jahre lang. Werkelt im Hintergrund an der Server-Infrastruktur und ist auch für alles Redaktionelle zuständig. Ist an der aktuellen Technik fasziniert und bloggt gerne über alles Digitale. Ist sonst in der Freizeit oftmals beim Webentwickeln, Fotografieren oder Radiomachen anzutreffen.

David hat bereits 869 Artikel geschrieben und 349 Kommentare verfasst.

Web | Facebook | Twitter | Insta | YouTube
Mail: david.wurm|at|techniknews.net | bitte NICHT für allgemeine Anfragen, Kooperationen! Hier lang: Kontakt
guest
Dein Name, der öffentlich angezeigt wird.
Wir werden Deine Mailadresse nicht veröffentlichen.
0 Kommentare
Inline Feedbacks
View all comments