Update gegen kritische Sicherheitslücke im Wiki Confluence

Wer auf seiner Homepage die Wiki-Software Confluence von Atlassian selbst hostet, sollte jetzt dringend ein Update einspielen, denn in der Wiki-Software wurde eine Sicherheitslücke gefunden, die es Angreifern gestattet, eigenen Code auf den Servern auszuführen. Patches und Updates stehen bereit Der Hersteller Atlassian stellt für mehrere Versionen Patches und Updates bereit. Es sind aber nur die Nutzer von selbst gehosteten Confluence-Servern betroffen, die Cloud-Variante weist die Sicherheitslücke nicht auf. Die Lücke wurde in den Versionen 6.13.23, 7.4.11, 7.11.6, 7.12.5 und 7.13.0 geschlossen. Atlassian empfiehlt zwar den Einsatz der aktuellen Long-Time-Support-Version 7.13.0-, weiß aber auch, dass ein direktes Upgrade darauf nicht von allen Versionen aus möglich ist. Manche Unternehmen können auch im Betrieb befindliche Software nicht sofort mit einem Update härten. Deshalb gibt es als Übergangslösung vom Hersteller ein Script, dass von Admins genutzt werden kann, um die Lücke zunächst einmal schnell temporär zu schließen. Details dazu finden Sie auf Atlassians Seite zu dem Bug. Die Sicherheitslücke steckt in der OGNL-Implementierung Bei der Sicherheitlücke ist letztlich ein Fehler in der Object-Graph Navigation Language (OGNL), der dazu führt, dass beliebiger Code auf dem Server ausgeführt werden kann. Zwar ist in den meisten Fällen zur Ausnutzung der Lücke eine Authentifizierung nötig, aber in Ausnahmefällen gibt es diese Einschränkung nicht. Die Lücke [...]