Inhaltsverzeichnis

XML Parsing Lücke

Schweregrad der Lücke

Gemäß der Klassifizierung von Atlassian hat diese Lücke den Schweregrad der höchsten Kategorie 'kritisch'. Atlassian unterscheidet zwischen den Kategorien niedrig, mittel, hoch und kritisch.

Bewertung des Schweregrads durch //SEIBERT/MEDIA

Analog zu den Kategorien niedrig, mittel, hoch und kritisch stuft //SEIBERT/MEDIA die Lücke für seine Kunden unterschiedlich nach der Umgebung und Art des Betriebs wie folgt ein:

Umgebung / Art des Betriebs

Kategorie

Betrieb im Intranet / Kein Zugriff aus dem Internet

hoch

Öffentlicher Zugriff / Zugriff aus dem Internet möglich

kritisch

Beschreibung

Es existiert eine Sicherheitslücke im XML-Parser von Confluence, die einen Angreifer ermöglicht:

  1. eine Denial of Service (DoS) Attacke gegen den Confluenceserver auszuführen
  2. alle Dateien auf dem Betriebssystem unter dem Benutzer zu lesen, mit welchen Confluence betrieben wird

Ein Angreifer benötigt keinen Zugang / Benutzer um diese Lücken zu missbrauchen. Es ist auch kein anonymer Zugang erforderlich. Es genügt, wenn Confluence für den Angreifer erreichbar ist.

Betroffene Versionen

Alle Versionen einschließlich Version 4.1.9 sind betroffen.

Das Plugin Gliffy ist von dieser Lücke ebenso betroffen.

Workarounds / Risikominimierung

Es wird empfohlen, ein Upgrade von Confluence durchzuführen, da es keine effektiven Workarounds oder Patches gibt.

Kunden können jedoch folgende Maßnahmen ergreifen, um das Risiko eines Angriffs zu minimieren:

  1. Sperrung des Zugriffs auf die SOAP und XML-RPC APIs. Wie Sie diese deaktivieren können, können Sie diesem Link entnehmen.
  2. Deaktivieren Sie folgende Plugins oder Module
    1. Office Connector plugin
    2. Das JUnitReport macro module der Advanced Macros
    3. Jira Macros Plugin
    4. WebDAV
  3. Deaktivieren Sie den anonymen Zugriff

Behebung

Die Sicherheitslücke lässt sich nur vollständig durch ein Upgrade von Confluence beheben. Folgende Upgradepfade stehen zur Verfügung:

  • Confluence 4.1.x > Confluence 4.1.10
  • Confluence 4.0.x > Confluence 4.0.7
  • Confluence 3.5.x > Confluence 3.5.16

Ältere Versionen von Confluence müssen mindestens auf Confluence 3.5.16 aktualisieren, um vollständig geschützt zu sein. Es stehen keine Patches zur Verfügung.

Das Gliffy-Plugin muss auf Version 4.2 aktualisiert werden.

Referenzen

Confluence

Dieser Inhalt wurde zuletzt am 20.09.2017 aktualisiert.

Der Inhalt auf dieser Seite ist schon seit einer Weile nicht mehr aktualisiert worden. Das muss kein Nachteil sein. Oft überdauern unsere Seiten Jahre, ohne wirklich unnütz zu werden. Einfach auf diesen Link klicken, wenn wir die Seite mal wieder aktualisieren sollten. Alte Inhalte können falsch, irreführend oder überholt sein. Bitte nutzen Sie das Formular oder den Live-Chat auf dieser Seite oder kontaktieren Sie uns via E-Mail unter content@seibert.group, wenn Sie Zweifel, Fragen, Anregungen oder Änderungswünsche haben.