Christopher Orendi Atlassian hat am 31. Oktober 2023, für Confluence einen Aufruf zum Schließen der kritischen Sicherheitslücke „Confluence CVE-2023-22518“ veröffentlicht.
Diese Lücke ermöglicht es, eigenen Code auf den Servern auszuführen, und betrifft sowohl Data Center- als auch Server-Kunden. Cloud-Produkte sind hiervon allerdings nicht betroffen.
Wir empfehlen ein schnellstmögliches Update auf eine aktuelle Confluence-Version.
Wer ist betroffen?
Betroffen sind ausschließlich Betreiber:Innen, welche selbst gehostete Confluence im Data Center oder auf Server-Instanzen der folgenden Versionen einsetzen:
- Alle Versionen kleiner als 7.19.16
- Alle Versionen kleiner als 8.3.4.
- Alle Versionen kleiner als 8.4.4.
- Alle Versionen kleiner als 8.5.3.
- Alle Versionen kleiner als 8.6.1.
Was ist zu tun?
Nach aktuellem Stand wurde die Sicherheitslücke noch nicht ausgenutzt. Da Sie zu einem signifikanten Datenverlust führen kann, wird dringend dazu geraten, die Anwendung umgehend zu patchen. Sollte dies nicht möglich sein, werden folgende Maßnahmen empfohlen:
- Die Anwendung/Instanz sichern
- Die Anwendung/Instanz aus dem Internet nehmen, um mögliche Zugriffe zu vermeiden.
Die Bedrohung “Confluence CVE-2023-22518“ erfordert zeitnahes Handeln. Daher empfehlen wir Ihnen, sich direkt mit dem IT-Partner Ihres Vertrauens in Verbindung zu setzen.