Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (16.10.24):
Neues Advisory

In Confluence Data Center und Server existieren mehrere Schwachstellen in
Drittanbieter-Komponenten, die in Confluence zum Teil einen anderen
Angriffsvektor besitzen als vom Hersteller ursprünglich und damit in den
angefügten Schwachstellen angegeben. Die schwerwiegendste Schwachstelle
(CVE-2024-4367) mit einem CVSS von 8.1 und der Einstufung ‘high’ ermöglicht
einem Angreifer mit üblichen Privilegien aus der Ferne die Durchführung
eines Cross-Site-Scripting (XSS)-Angriffs. Weitere Schwachstellen kann ein
Angreifer ohne Privilegien aus der Ferne ausnutzen, um Dateien zu
manipulieren (Directory Traversal-Angriff) und verschiedene Denial-of-
Service (DoS)-Angriffe durchzuführen.

Zum Veröffentlichungszeitpunkt werden die Versionen 7.19.26 bis 7.19.28
(LTS), 8.5.11 bis 8.5.16 (LTS) sowie 8.9.3 bis 8.9.7 Data Center Only als
fehlerbereinigte, verfügbare Versionen aufgeführt. Der Hersteller empfiehlt
allerdings zum Update-Zeitpunkt die dann aktuellste Version einzusetzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2024-2737]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html