Fragen? Antworten! Siehe auch: Alternativlos
Der Admin Account in dem Confluence Questions Plugin ist unterhaltsam, aber der viel 'bessere' Report ist meiner Meinung nach der zweite vom gleichen Tag mit CVE-2022-26136 und CVE-2022-26137.Vielleicht weil das den Betroffenen peinlich ist, öffentlich zugeben zu müssen, wie tief sie sich in die selbstverschuldete Unmündigkeit begeben haben?Hier wird geboten:
- 'Authentication Bypass' und Cross-Site-Scripting
- Alle Serverprodukte sind betroffen, Jira, Confluence, Bamboo, Bitbucket und so weiter
- Die Sammel-CVEs haben keinen Score, den ich finden konnte, in den Atlassian Produkt-Tickets gibt es CVSS Werte von 9.4 bis 9.7
Und die wirklich neue Spezialität:
Es gibt keine Workarounds oder Patches, man muss auf eine neue Version und dass geht nur mit einem laufenden Supportvertrag.
Mit anderen Worten: Server-Kunden, die nicht jedes Jahr 50% der 'perpetual' Lizenz bezahlen, stehen komplett im Regen.
Ich frage mich, warum das keine Schlagzeilen macht ...
Daher tut man jetzt halt so, als sei das a) schon längst alles eingepreist und b) ginge es auch gar nicht anders, denn sieh mal die Konkurrenz, die setzt den Scheiß ja auch ein. Wie bei Microsoft-Umgebungen halt. Da gibt es ja auch Null Einsicht, egal wie viel Kosten sich auftürmen.
Update: Ein Leser hat Patches gefunden.
Update: Noch ein Leserbrief dazu:
ich fürchte, die Lizenz-Politik bei Atlassian ist noch schlimmer, als du und dein Leser es dir vorstellen könnt. Du kannst sogar eine Patch-Version (also z.B. Confluence 7.4.17) nur einspielen, wenn das Release-Datum *des Patches* vor Ablauf deines Support-Vertrages war. Also kannst du sämtliche auf dieser Seite verlinkten Patch-Versionen nur verwenden, wenn du zumindest so ca. Juni 22 noch einen gültigen Support-Vertrag hattest (siehe jeweilige Release Notes).
Noch meine 2¢, warum Firmen trotz aller Querschüsse von Atlassian das immer noch verwenden: Es gibt leider in den Bereichen "Enterprise-Bugtracker" und "Enterprise-Wiki" keine ernsthafte Konkurrenz (davon unbenommen natürlich, wie sinnvoll und effizient so Enterprise-style Anwendungen sein mögen). Wenn du "Enterprise-Wiki" noch auf "Enterprise-Wissensmanagement" erweiterst, landest du ganz schnell bei dem noch grusligerem Sharepoint.
In anderen Bereichen, wo Konkurrenz existiert, hat Atlassian massiv verloren - siehe z.B. Bitbucket, Bamboo, Hipchat.