Barış Kuzu Atlassian hat am 06. Dezember 2023 vier kritische Sicherheitslücken mit jeweils hohem Score (bis 9.8/10) veröffentlicht. Diese Lücken ermöglichen es Angreifern, Schadcode aus der Ferne auszuführen, was potenziell zu unautorisiertem Zugriff auf Systeme führen kann.
Wir empfehlen dringend auf die jeweils neuste Produkt-Version zu aktualisieren.
Wer ist betroffen?
Betroffen sind ausschließlich Betreiber:Innen, welche folgende selbst gehostete Atlassian Produkte im Data Center oder auf Server-Instanzen einsetzen:
- Bitbucket
- Jira Core
- Jira Software
- Jira Service Management
- Confluence
Cloud- Produkte sind hiervon allerdings nicht betroffen.
Was ist zu tun?
Nach aktuellem Stand wurden die Sicherheitslücken noch nicht ausgenutzt. Es ist davon auszugehen, dass automatisierte Angriffswellen bereits vorbereitet werden.
Da Sie zu einem signifikanten Datenverlust führen können, wird dringend dazu geraten, die Anwendungen umgehend zu patchen. Der Hersteller hat bereits Patches veröffentlicht, um diese Sicherheitslücken zu beheben.
Sollte dies nicht möglich sein, werden folgende Maßnahmen empfohlen:
- Die Anwendung/Instanz sichern
- Die Anwendung/Instanz aus dem Internet nehmen, um mögliche Zugriffe zu vermeiden.
Die Bedrohungen erfordern zeitnahes Handeln. Daher empfehlen wir Ihnen, sich direkt mit dem IT-Partner Ihres Vertrauens in Verbindung zu setzen.
Details zu betroffenen Versionen hat der Hersteller auf den folgenden Seiten bereitgestellt:
- CVE-2022-1471 (CVSSv3: 9.8/10, „kritisch“):
Diese veröffentlichte Sicherheitswarnung betrifft mehrere Atlassian-Produkte. Diese Schwachstelle basiert auf einer Verwundbarkeit der SnakeYAML-Bibliothek. - CVE-2022-22523 (CVSSv3: 9.8/10, „kritisch“):
Diese veröffentlichte Sicherheitswarnung betrifft die Assets-Discovery-Funktion. - CVE-2022-22524 (CVSSv3: 9.6/10, „kritisch“):
Die Sicherheitswarnung betrifft die Atlassian Companion App für MacOS. - CVE-2022-22522 (CVSSv3: 9.0/10, „kritisch“):
Die Sicherheitswarnung betrifft Confluence Data Center und Confluence Server.