[Warning] Kritische Sicherheitslücken in mehreren Produkten von Atlassian - Patches verfügbar
Thomas Pribitzer
pribitzer at cert.at
Thu Dec 7 08:04:39 CET 2023
07. Dezember 2023
Beschreibung
Mehrere Versionen von Produkten des Unternehmens Atlassian enthalten
kritische Sicherheitslücken.
CVE-Nummer(n): CVE-2023-22522, CVE-2022-1471
CVSS Base Score: 9.0 bzw. 9.8
Auswirkungen
Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die
vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf
alle darauf gespeicherten Daten.
Betroffene Systeme
CVE-2023-22522:
Confluence Data Center and Server
7.9.17 (LTS)
8.4.5
8.5.4 (LTS)
Confluence Data Center
8.6.2 or later
8.7.1 or later
CVE-2022-1471:
Automation for Jira (A4J) Marketplace App, Automation for Jira
(A4J) - Server Lite Marketplace App
9.0.1
9.0.0
<= 8.2.2
Bitbucket Data Center and Server
7.17.x - 7.20.x
7.21.0 - 7.21.1
7.21.2 - 7.21.15
8.0.x - 8.7.x
8.8.0 - 8.8.6
8.9.0 - 8.9.3
8.10.0 - 8.10.3
8.11.0 - 8.11.2
8.12.0
Confluence Data Center and Server
6.13.x - 6.15.x
7.0.x - 7.12.x
7.13.1 - 7.13.17
7.14.x -7.18.x
7.19.0 - 7.19.9
7.20.x
8.0.x - 8.2.x
8.3.0
Confluence Cloud Migration App (CCMA)
Plugin versions lower than 3.4.0
Jira Core Data Center and Server, Jira Software Data Center and Server:
9.4.0 - 9.4.12
9.5.x - 9.10.x
9.11.0 - 9.11.1
JIra Service Management Data Center and Server
5.4.0 - 5.4.12
5.5.x - 5.10.x
5.11.0 - 5.11.1
Abhilfe
Einspielen der von Atlassian zur Verfügung gestellten Patches. Dabei ist
zu beachten, dass die Aktualisierungen zur Behebung von CVE-2022-1471 in
manchen Situationen zu Problemen mit der Rückwärtskompatibilität von
Software und Systemen führen kann. Der Hersteller gibt im Advisory zu
CVE-2022-1471 Auskunft über verwundbare Software, die möglicherweise von
diesen Problemen betroffen ist.
Instanzen der betroffenen Software, die über das Internet erreichbar
sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis die zur
Verfügung stehenden Sicherheitsaktualisierungen eingespielt wurden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
----------------------------------------------------------------------
Informationsquelle(n):
Security Advisory zu CVE-2023-22522 (Englisch)
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html
Security Advisory zu CVE-2022-1471 (Englisch)
https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-in-multiple-products-1296171009.html
----------------------------------------------------------------------
--
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20231207/78199af7/attachment.sig>
More information about the Warning
mailing list