Atlassian Security Bulletin März 2024: 25 hohe Sicherheitslücken

Im neuesten Sicherheitsbulletin vom 19. März 2024 hat Atlassian eine Reihe kritischer Sicherheitslücken in seinen selbstverwalteten Produkten angesprochen. Cloud-Produkte sind von diesen Schwachstellen nicht betroffen.

Unter den bekannt gegebenen Sicherheitslücken finden sich Schwachstellen in Produkten wie Bamboo Data Center und Server, Bitbucket Data Center und Server sowie Confluence Data Center und Server, die von SQL-Injektionen bis zu Denial-of-Service-Angriffen reichen. Jira Software Data Center und Server sind ebenfalls betroffen, mit Schwachstellen, die von Remote Code Execution bis zu Server-Side Request Forgery reichen.

Das Bulletin deckt 24 Schwachstellen hoher Schwere und eine kritische Sicherheitslücke auf, die in den letzten Monat veröffentlichten Produktversionen behoben wurden. Diese Schwachstellen wurden durch Atlassians Bug-Bounty-Programm, Penetrationstests und Scans von Drittanbieterbibliotheken entdeckt.

Atlassian empfiehlt dringend, Ihre Instanzen auf die neueste Version oder eine der festgelegten Fixed Versions für jedes Produkt zu aktualisieren, um alle betroffenen Schwachstellen zu beheben. Die aufgeführten Fixed Versions für jedes Produkt sind aktuell zum Stand vom 19. März 2024; für die aktuellsten Versionen sollten die verlinkten Produkt-Release-Notes konsultiert werden.

Weitere Informationen zu den Updates des März-Bulletins und Feedback können im Community-Post nachgelesen werden.

Tags :

Related Posts

Conversation Overflow-Angriffe auf KI Bots und KI Phishing-Detection

Conversation Overflow-Angriffe zielen auf KI gestützte Chatbots und Systeme zur Erkennung von Phishing ab und nutzen dabei die Verarbeitungskapazitäten von KI-Systemen aus, um sie zu überlasten und zu unerwartetem Verhalten oder sogar zum Absturz zu bringen.

Read More

Mali GPU Sicherheitslücke: Kernel-Zugriff auf Pixel 8 trotz MTE-Schutz

Eine kritische Sicherheitslücke, identifiziert als CVE-2023-6241, wurde in der Arm Mali GPU entdeckt und betrifft moderne Android-Geräte, einschließlich Googles Pixel 7 und Pixel 8. Diese Schwachstelle erlaubt es einer bösartigen App, willkürliche Kernel-Code-Ausführungen und Root-Zugriff auf dem Gerät zu erlangen, selbst wenn die Memory Tagging Extension (MTE) aktiviert ist.

Read More

Loop DoS (Denial-of-Service) Angriffe

Ein Loop DoS (Denial-of-Service) Angriff ist eine Ende 2023 entdeckte Form des DoS Angriffs, der Anwendungsprotokolle auf der Anwendungsschicht ins Visier nimmt, welche das User Datagram Protocol (UDP) zur Kommunikation verwenden. Bei diesem Angriff werden zwei Netzwerkdienste derart miteinander verknüpft, dass sie unendlich lange auf die Nachrichten des jeweils anderen antworten, was ein enormes Datenaufkommen erzeugt. Dies kann die betroffenen Systeme oder Netzwerke überlasten und zu einer Dienstverweigerung führen. Eine Beispiel Implementierung findet sich auf Github.

Read More