[Warning] Kritische Sicherheitslücken in mehreren Produkten von Atlassian - Patches verfügbar

Thomas Pribitzer pribitzer at cert.at
Thu Dec 7 08:04:39 CET 2023 

07. Dezember 2023

Beschreibung

Mehrere Versionen von Produkten des Unternehmens Atlassian enthalten 
kritische Sicherheitslücken.

CVE-Nummer(n): CVE-2023-22522, CVE-2022-1471

CVSS Base Score: 9.0 bzw. 9.8

Auswirkungen

Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die 
vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf 
alle darauf gespeicherten Daten.

Betroffene Systeme

  CVE-2023-22522:

     Confluence Data Center and Server
         7.9.17 (LTS)
         8.4.5
         8.5.4 (LTS)
     Confluence Data Center
         8.6.2 or later
         8.7.1 or later

CVE-2022-1471:

     Automation for Jira (A4J) Marketplace App, Automation for Jira 
(A4J) - Server Lite Marketplace App
         9.0.1
         9.0.0
         <= 8.2.2
     Bitbucket Data Center and Server
         7.17.x - 7.20.x
         7.21.0 - 7.21.1
         7.21.2 - 7.21.15
         8.0.x - 8.7.x
         8.8.0 - 8.8.6
         8.9.0 - 8.9.3
         8.10.0 - 8.10.3
         8.11.0 - 8.11.2
         8.12.0
     Confluence Data Center and Server
         6.13.x - 6.15.x
         7.0.x - 7.12.x
         7.13.1 - 7.13.17
         7.14.x -7.18.x
         7.19.0 - 7.19.9
         7.20.x
         8.0.x - 8.2.x
         8.3.0
     Confluence Cloud Migration App (CCMA)
         Plugin versions lower than 3.4.0
     Jira Core Data Center and Server, Jira Software Data Center and Server:
         9.4.0 - 9.4.12
         9.5.x - 9.10.x
         9.11.0 - 9.11.1
     JIra Service Management Data Center and Server
         5.4.0 - 5.4.12
         5.5.x - 5.10.x
         5.11.0 - 5.11.1

Abhilfe

Einspielen der von Atlassian zur Verfügung gestellten Patches. Dabei ist 
zu beachten, dass die Aktualisierungen zur Behebung von CVE-2022-1471 in 
manchen Situationen zu Problemen mit der Rückwärtskompatibilität von 
Software und Systemen führen kann. Der Hersteller gibt im Advisory zu 
CVE-2022-1471 Auskunft über verwundbare Software, die möglicherweise von 
diesen Problemen betroffen ist.

Instanzen der betroffenen Software, die über das Internet erreichbar 
sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis die zur 
Verfügung stehenden Sicherheitsaktualisierungen eingespielt wurden.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und 
dabei insbesondere auf automatische Updates zu setzen. Regelmäßige 
Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

----------------------------------------------------------------------

Informationsquelle(n):

Security Advisory zu CVE-2023-22522 (Englisch)
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

Security Advisory zu CVE-2022-1471 (Englisch)
https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-in-multiple-products-1296171009.html
----------------------------------------------------------------------



-- 
// Thomas Pribitzer <pribitzer at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// CERT.at GmbH, FB-Nr. 561772k, HG Wien
-------------- next part --------------
A non-text attachment was scrubbed...
Name: OpenPGP_signature.asc
Type: application/pgp-signature
Size: 840 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20231207/78199af7/attachment.sig>

More information about the Warning mailing list