Wouter Hoeffnagel - 31 oktober 2023

Atlassian verhelpt kritiek lek in Confluence Datacenter en Server

Er zijn beveiligingsupdates beschikbaar. Atlassian geeft aan dat het nog geen actief misbruik heeft waargenomen maar roept klanten op direct actie te ondernemen.

Atlassian verhelpt kritiek lek in Confluence Datacenter en Server image

De kwetsbaarheid (CVE-2023-22518) wordt door Atlassian geclassificeerd als een 'Improper Authorization' kwetsbaarheid. Misbruik van de kwetsbaarheid kan een Denial of Service (DoS) veroorzaken, waardoor een Confluence-omgeving niet meer beschikbaar is. Daarnaast kunnen kwaadwillenden willekeurige code uitvoeren op het systeem waarop Confluence geïnstalleerd is.

Wanneer een Confluence-omgeving beschikbaar is vanaf het publieke internet, dan vergroot dit de kans op misbruik van kwetsbaarheden. Atlassian geeft ook voor deze kwetsbaarheid aan dat publiek benaderbare Confluence-omgevingen een hoog risico lopen.

Alle lokale versies zijn kwetsbaar

Alle lokaal geïnstalleerde (“On Premise”) versies van Confluence Data Center en Server zijn kwetsbaar. Atlassian Cloud Sites zijn niet kwetsbaar. Is jouw Confluence-pagina bereikbaar via een atlassian.net-domein? Dan wordt de applicatie gehost door Atlassian en is deze kwetsbaarheid niet van toepassing.

Atlassian dicht het lek in software-updates voor Confluence Data Center en Server. Het advies is om deze zo snel mogelijk te (laten) installeren. Update je software naar een versie waarin de kwetsbaarheid is verholpen:

  • 7.19.16 en later
  • 8.3.4 en later
  • 8.4.4 en later
  • 8.5.3 en later
  • 8.6.1 en later

Daarnaast adviseert Atlassian om - zolang de updates nog niet zijn geïnstalleerd - toegang vanaf het publieke internet te blokkeren.

Het Digital Trust Center adviseert de door Atlassian aanbevolen maatregelen zo snel mogelijk uit te voeren, en indien nodig je IT-dienstverlener te vragen hierbij te helpen. Meer informatie is hier beschikbaar. 

Datacollectief BW 13-05-2024 tm 03-06-2024 CompTIA Community Benelux BW 7-31 mei
Datacollectief BN 13-05-2024 tm 03-06-2024