Kritische Sicherheitslücken in mehreren Produkten von Atlassian - Patches verfügbar

07. Dezember 2023

Beschreibung

Mehrere Versionen von Produkten des Unternehmens Atlassian enthalten kritische Sicherheitslücken.

CVE-Nummer(n): CVE-2023-22522, CVE-2022-1471

CVSS Base Score: 9.0 bzw. 9.8

Auswirkungen

Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf alle darauf gespeicherten Daten.

Betroffene Systeme

 CVE-2023-22522:

  • Confluence Data Center and Server
    • 4.x.x
    • 5.x.x
    • 6.x.x
    • 7.x.x
    • 8.0.x
    • 8.1.x
    • 8.2.x
    • 8.3.x
    • 8.4.0
    • 8.4.1
    • 8.4.2
    • 8.4.3
    • 8.4.4
    • 8.5.0
    • 8.5.1
      8.5.2
    • 8.5.3
  • Confluence Data Center
    • 8.6.0
    • 8.6.1

CVE-2022-1471:

  • Automation for Jira (A4J) Marketplace App, Automation for Jira (A4J) - Server Lite Marketplace App
    • 9.0.1
    • 9.0.0
    • <= 8.2.2
  • Bitbucket Data Center and Server
    • 7.17.x - 7.20.x
    • 7.21.0 - 7.21.1
    • 7.21.2 - 7.21.15
    • 8.0.x - 8.7.x
    • 8.8.0 - 8.8.6
    • 8.9.0 - 8.9.3
    • 8.10.0 - 8.10.3
    • 8.11.0 - 8.11.2
    • 8.12.0
  • Confluence Data Center and Server
    • 6.13.x - 6.15.x
    • 7.0.x - 7.12.x
    • 7.13.1 - 7.13.17
    • 7.14.x -7.18.x
    • 7.19.0 - 7.19.9
    • 7.20.x
    • 8.0.x - 8.2.x
    • 8.3.0
  • Confluence Cloud Migration App (CCMA)
    • Plugin versions lower than 3.4.0
  • Jira Core Data Center and Server, Jira Software Data Center and Server:
    • 9.4.0 - 9.4.12
    • 9.5.x - 9.10.x
    • 9.11.0 - 9.11.1
  • JIra Service Management Data Center and Server
    • 5.4.0 - 5.4.12
    • 5.5.x - 5.10.x
    • 5.11.0 - 5.11.1

Abhilfe

Einspielen der von Atlassian zur Verfügung gestellten Patches. Dabei ist zu beachten, dass die Aktualisierungen zur Behebung von CVE-2022-1471 in manchen Situationen zu Problemen mit der Rückwärtskompatibilität von Software und Systemen führen kann. Der Hersteller gibt im Advisory zu CVE-2022-1471 Auskunft über verwundbare Software, die möglicherweise von diesen Problemen betroffen ist.

Instanzen der betroffenen Software, die über das Internet erreichbar sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis die zur Verfügung stehenden Sicherheitsaktualisierungen eingespielt wurden.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

Security Advisory zu CVE-2023-22522 (Englisch)
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html

Security Advisory zu CVE-2022-1471 (Englisch)
https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-in-multiple-products-1296171009.html