{"id":41061,"date":"2025-04-18T06:56:11","date_gmt":"2025-04-18T06:56:11","guid":{"rendered":"https:\/\/www.europesays.com\/de\/41061\/"},"modified":"2025-04-18T06:56:11","modified_gmt":"2025-04-18T06:56:11","slug":"atlassian-stopft-hochriskante-lecks-in-confluence-jira-co","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/41061\/","title":{"rendered":"Atlassian stopft hochriskante Lecks in Confluence, Jira &#038; Co."},"content":{"rendered":"<p>Atlassian hat f\u00fcr Bamboo, Confluence und Jira Aktualisierungen herausgegeben, die als hohes Risiko eingestufte Sicherheitsl\u00fccken in den Produkten abdichten sollen. IT-Verantwortliche sollten die Updates zeitnah herunterladen und anwenden.<\/p>\n<p>In der <a href=\"https:\/\/confluence.atlassian.com\/security\/security-bulletin-april-15-2025-1540723536.html\" rel=\"external noopener\" target=\"_blank\">\u00dcbersicht der April-Updates von Atlassian<\/a> gehen die Entwickler auf Details zu den Schwachstellen ein. In Bamboo steckt eine Denial-of-Service-Schwachstelle aufgrund der Drittherstellerkomponente Netplex Json-smart (CVE-2024-57699, CVSS <strong>7.5<\/strong>, Risiko &#8222;<strong>hoch<\/strong>&#8222;). Confluence ist aufgrund der &#8222;io.netty&#8220;-Komponente ebenfalls f\u00fcr eine Denial-of-Service-Situation anf\u00e4llig (CVE-2025-24970, CVSS <strong>7.5<\/strong>, Risiko &#8222;<strong>hoch<\/strong>&#8222;). Au\u00dferdem k\u00f6nnen Angreifer eine XML External Entity Injection-Schwachstelle (XXE) in der Bibliothek &#8222;org.codehaus.jackson:jackson-mapper-asl&#8220; missbrauchen \u2013 die L\u00fccke scheint schon gut abgehangen zu sein und hat einen Schwachstelleneintrag von 2019 (CVE-2019-10172, CVSS <strong>7.5<\/strong>, Risiko &#8222;<strong>hoch<\/strong>&#8222;).<\/p>\n<p>Atlassian: Weitere Sicherheitsl\u00fccken<\/p>\n<p>Eine weitere XXE-Schwachstelle betrifft Jira (CVE-2021-33813, CVSS <strong>7.7<\/strong>, Risiko &#8222;<strong>hoch<\/strong>&#8222;). Zudem k\u00f6nnen Angreifer aufgrund einer Schwachstelle in der &#8222;net.minidev.json-smart&#8220;-Bibliothek eine Denial-of-Service-Situation ausl\u00f6sen (CVE-2024-57699, CVSS <strong>7.5<\/strong>, Risiko &#8222;<strong>hoch<\/strong>&#8222;). Jira Service Management enth\u00e4lt ebenfalls eine XXE-L\u00fccke (CVE-2021-33813, CVSS <strong>7.7<\/strong>, Risiko &#8222;<strong>hoch<\/strong>&#8222;) und teilt die Schwachstelle in der &#8222;net.minidev.json-smart&#8220;-Bibliothek mit Jira.<\/p>\n<p>Betroffen sind unterschiedliche Entwicklungszweige der Software, aber zum Korrigieren der sicherheitsrelevanten Fehler stellt Atlassian folgende Versionen bereit:<\/p>\n<ul class=\"rte__list rte__list--unordered\">\n<li>Bamboo Data Center and Server 10.2.3 (LTS) sowie 9.6.11 und 9.6.12 (LTS)<\/li>\n<li>Confluence Data Center and Server 9.4.0, 9.2.3 (LTS) sowie 8.5.21 (LTS)<\/li>\n<li>Jira Data Center and Server 10.5.1, 10.3.5 (LTS) sowie 9.12.22 (LTS)<\/li>\n<li>Jira Service Management Data Center and Server 10.5.1, 10.3.5 (LTS) und 5.12.22 (LTS)<\/li>\n<\/ul>\n<p>Im Februar hatte Atlassian ebenfalls Aktualisierungen ver\u00f6ffentlicht, die hochriskante Schwachstellen ausbessern. Dort waren neben Bamboo auch Bitbucket und Jira von den Sicherheitsl\u00fccken betroffen.<\/p>\n<p>(<a class=\"redakteurskuerzel__link\" href=\"https:\/\/www.heise.de\/news\/mailto:dmk@heise.de\" title=\"Dirk Knop\" target=\"_blank\" rel=\"noopener\">dmk<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"Atlassian hat f\u00fcr Bamboo, Confluence und Jira Aktualisierungen herausgegeben, die als hohes Risiko eingestufte Sicherheitsl\u00fccken in den Produkten&hellip;\n","protected":false},"author":2,"featured_media":41062,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[10308,21071,21072,21073,29,30,196,21074,190,189,1687,4970,10312,194,191,193,192],"class_list":{"0":"post-41061","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-alert","9":"tag-atlassian","10":"tag-bamboo","11":"tag-confluence","12":"tag-deutschland","13":"tag-germany","14":"tag-it","15":"tag-jira","16":"tag-science","17":"tag-science-technology","18":"tag-security","19":"tag-sicherheitsluecken","20":"tag-sicherheitsupdates","21":"tag-technik","22":"tag-technology","23":"tag-wissenschaft","24":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/114357664681903908","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/41061","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=41061"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/41061\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/41062"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=41061"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=41061"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=41061"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}