Kritische Sicherheitslücken in mehreren Produkten von Atlassian - Patches verfügbar
07. Dezember 2023
Beschreibung
Mehrere Versionen von Produkten des Unternehmens Atlassian enthalten kritische Sicherheitslücken.
CVE-Nummer(n): CVE-2023-22522, CVE-2022-1471
CVSS Base Score: 9.0 bzw. 9.8
Auswirkungen
Die Ausnutzung der Sicherheitslücken ermöglicht Angreifer:innen die vollständige Übernahme von verwundbaren Systemen, sowie den Zugriff auf alle darauf gespeicherten Daten.
Betroffene Systeme
CVE-2023-22522:
- Confluence Data Center and Server
- 4.x.x
- 5.x.x
- 6.x.x
- 7.x.x
- 8.0.x
- 8.1.x
- 8.2.x
- 8.3.x
- 8.4.0
- 8.4.1
- 8.4.2
- 8.4.3
- 8.4.4
- 8.5.0
- 8.5.1
8.5.2 - 8.5.3
- Confluence Data Center
- 8.6.0
- 8.6.1
CVE-2022-1471:
- Automation for Jira (A4J) Marketplace App, Automation for Jira (A4J) - Server Lite Marketplace App
- 9.0.1
- 9.0.0
- <= 8.2.2
- Bitbucket Data Center and Server
- 7.17.x - 7.20.x
- 7.21.0 - 7.21.1
- 7.21.2 - 7.21.15
- 8.0.x - 8.7.x
- 8.8.0 - 8.8.6
- 8.9.0 - 8.9.3
- 8.10.0 - 8.10.3
- 8.11.0 - 8.11.2
- 8.12.0
- Confluence Data Center and Server
- 6.13.x - 6.15.x
- 7.0.x - 7.12.x
- 7.13.1 - 7.13.17
- 7.14.x -7.18.x
- 7.19.0 - 7.19.9
- 7.20.x
- 8.0.x - 8.2.x
- 8.3.0
- Confluence Cloud Migration App (CCMA)
- Plugin versions lower than 3.4.0
- Jira Core Data Center and Server, Jira Software Data Center and Server:
- 9.4.0 - 9.4.12
- 9.5.x - 9.10.x
- 9.11.0 - 9.11.1
- JIra Service Management Data Center and Server
- 5.4.0 - 5.4.12
- 5.5.x - 5.10.x
- 5.11.0 - 5.11.1
Abhilfe
Einspielen der von Atlassian zur Verfügung gestellten Patches. Dabei ist zu beachten, dass die Aktualisierungen zur Behebung von CVE-2022-1471 in manchen Situationen zu Problemen mit der Rückwärtskompatibilität von Software und Systemen führen kann. Der Hersteller gibt im Advisory zu CVE-2022-1471 Auskunft über verwundbare Software, die möglicherweise von diesen Problemen betroffen ist.
Instanzen der betroffenen Software, die über das Internet erreichbar sind, sollten vom Netzwerkzugriff ausgeschlossen werden, bis die zur Verfügung stehenden Sicherheitsaktualisierungen eingespielt wurden.
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Security Advisory zu CVE-2023-22522 (Englisch)
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html
Security Advisory zu CVE-2022-1471 (Englisch)
https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-in-multiple-products-1296171009.html