Page properties



  • Bitbucket Server and Data Center

  • Bamboo Server and Data Center

  • Fisheye

  • Crucible

  • Sourcetree


Atlassian Cloud sites are not affected.

Fixes have been deployed to Atlassian Cloud sites. If your Atlassian site is accessed via a Bitbucket | Git solution for teams using Jira or an atlassian.netdomain, it is an Atlassian Cloud site.



Git Buffer Overflow in mehreren Produkten - CVE-2022-41903, CVE-2022-23521

Geschätzte Kundschaft

Dieses Advisory adressiert zwei kritische Sicherheitsschwachstellen in Git, die mehrere Atlassian-Produkte betreffen.

CVE-2022-41903 - Heap overflow in git archive, git log --format

(info) Git Security Advisory - CVE-2022-41903 

git log hat die Möglichkeit, Commits in einem beliebigen Format mit den --format-Spezifikationen anzuzeigen. Diese Funktionalität ist auch für das git archive über das Git-Attribut export-subst verfügbar.

Bei der Verarbeitung der Auffüllungsoperatoren für die Formatierung (z. B. %<(, %<|(, %>(, >>(, or %><() kann ein Integer-Überlauf auftreten. Dieser Überlauf kann direkt durch einen Benutzer ausgelöst werden, der einen Befehl ausführt, der die Maschinerie zur Formatierung von Übertragungen aufruft, oder indirekt durch das Git-Archiv und den Mechanismus export-subst.

Der Integer-Überlauf führt zu willkürlichen Heap-Schreibvorgängen, die zu einer externen Codeausführung führen können.

CVE-2022-23531 - gitattributes parsing integer overflow

(info) Git Security Advisory - CVE-2022-23521

gitattributes sind ein Mechanismus, mit dem Attribute für Pfade definiert werden können. Diese Attribute können definiert werden, indem eine .gitattributes Datei zum Repository hinzugefügt wird, die eine Reihe von Dateimustern und die Attribute enthält, die für Pfade, die diesem Muster entsprechen, gesetzt werden sollen.

Beim Parsen von gitattributes kann es zu mehreren Integer-Overflows kommen, wenn es eine große Anzahl von Pfadmustern gibt, eine große Anzahl von Attributen für ein einzelnes Muster, oder wenn die deklarierten Attributnamen sehr groß sind. Diese Überläufe können durch eine manipulierte ..gitattributes Datei ausgelöst werden, die Teil der Commit-Historie sein kann.

Dieser Integer-Überlauf kann zu willkürlichen Heap-Lese- und Schreibvorgängen führen, was eine entfernte Codeausführung zur Folge haben kann.


Atlassian stuft den Schweregrad dieser Schwachstellen als kritisch ein, entsprechend der Skala, die in unseren Atlassian-Schweregraden veröffentlicht ist. Anhand der Skala können wir den Schweregrad als kritisch, hoch, moderat oder niedrig einstufen.

Dies ist unsere Einschätzung und Sie sollten deren Anwendbarkeit auf Ihre eigene IT-Umgebung prüfen.

Betroffene Produkte

(info) Git hat Patches für beide Sicherheitslücken für Versionen >= v2.30.7 veröffentlicht

Bitbucket Server


und Data Center

Betroffene Versionen

Alle Versionen von Bitbucket Server und Bitbucket Data Center sind betroffen.

Patch Empfehlungen



Für Kunden, die Git selbst anbieten

Atlassian empfiehlt Kunden ein Upgrade auf die neueste gepatchte und unterstützte Version von Git.

Bitte schauen Sie auf der Seite für unterstützte Plattformen für eine bestimmte Version von Bitbucket nach, ob sie Git v2.30.7+ unterstützt.

Kunden, die Versionen von Bitbucket Server und Data Center < 7.9 verwenden, müssen Bitbucket auf eine neuere Version aktualisieren, um eine gepatchte Version von Git zu unterstützen.

Für Kunden, die Bitbucket 7.6 verwenden, hat das Bitbucket-Team jedoch getestet und bestätigt, dass Git v2.30.7 funktionieren sollte.

Für Kunden, die ein Bitbucket-Docker-Image verwenden

Alle Images im Support Lifecycle für Bitbucket wurden aktualisiert, um eine gepatchte Version von Git zu verwenden.

Bitte laden Sie die Images erneut herunter, um die neuesten Änderungen zu übernehmen.

Ebenso müssen Kunden, die ein Bitbucket-Image mit einem Hash verknüpfen, auf die neueste Hash-Version aktualisieren, die mit dem jeweiligen Image-Tag verknüpft ist.

Für Kunden, die Git für Windows verwenden

Das Bitbucket-Team hat Version v7.21.9 veröffentlicht, die Unterstützung für Git v2.39.x bietet.

Bitte aktualisieren Sie auf die neueste gepatchte und unterstützte Version von Git, die verfügbar ist.

Derzeit ist für Git für Windows keine backport fixes für diese Sicherheitslücken geplant.

Bamboo Server und Data Center

Betroffene Versionen

Alle Versionen von Bamboo sind betroffen.

Patch Empfehlungen



Für Kunden, die Git selbst bereitstellen

Atlassian empfiehlt seinen Kunden, Git auf dem Bamboo-Server und den Remote-Agenten auf die neueste gepatchte und unterstützte Version zu aktualisieren.

Bitte sehen Sie auf der Seite der unterstützten Plattformen nach, ob eine bestimmte Bamboo-Version Git v2.30.7+ unterstützt.

Für Kunden, die ein Bamboo Docker Image verwenden

Alle Images im Support-Lebenszyklus wurden aktualisiert, um eine gepatchte Version von Git zu verwenden.

Bitte laden Sie die Images erneut herunter, um die neuesten Änderungen zu übernehmen.

Ebenso müssen Kunden, die ein Bamboo Bild an einen Hash pinnen, auf die neueste Hash-Version aktualisieren, die mit dem jeweiligen Bild-Tag verbunden ist.

Für Kunden, die Elastic Bamboo verwenden

Neue AMIs wurden mit einer gepatchten Git Version für Linux und Windows in unterstützten Regionen für das kommende Bamboo 9.1.3 Release vorbereitet. Kunden, die nicht auf das Release warten wollen, können eine Zeile zur Aktualisierung von Git in das Image-Startskript im bestehenden Image-Konfigurationsbildschirm einfügen oder die AMIs vor dem offiziellen Release herunterladen und verwenden.

Für Kunden, die Git für Windows verwenden

Bitte aktualisieren Sie auf die neueste Version von Git für Windows.

Aktuell hat Git für Windows keine Pläne für backport fixes.

Fisheye Server

Betroffene Versionen

Alle Versionen von Fisheye sind betroffen.

Patch Empfehlungen



Für Kunden, die Git selbst anbieten

Atlassian empfiehlt seinen Kunden, Git auf dem Bamboo-Server und den Remote-Agenten auf die neueste gepatchte und unterstützte Version zu aktualisieren.

Bitte sehen Sie auf der Seite der unterstützten Plattformen nach, ob eine bestimmte Bamboo-Version Git v2.30.7+ unterstützt.

Für Kunden, die ein Fisheye Docker Image verwenden

Alle Images im Support-Lebenszyklus wurden aktualisiert, um eine gepatchte Version von Git zu verwenden.

Bitte laden Sie die Images erneut herunter, um die neuesten Änderungen zu übernehmen.

Ebenso müssen Kunden, die ein Fisheye Bild an einen Hash pinnen, auf die neueste Hash-Version aktualisieren, die mit dem jeweiligen Bild-Tag verbunden ist.

Für Kunden, die Git für Windows verwenden

Bitte aktualisieren Sie auf die neueste Version von Git für Windows.

Aktuell hat Git für Windows keine Pläne für backport fixes.

Crucible Server

Betroffene Versionen

Alle Versionen von Crucible sind betroffen.

Patch Empfehlungen



Für Kunden, die Git selbst anbieten

Atlassian empfiehlt seinen Kunden, Git auf dem Bamboo-Server und den Remote-Agenten auf die neueste gepatchte und unterstützte Version zu aktualisieren.

Bitte sehen Sie auf der Seite der unterstützten Plattformen nach, ob eine bestimmte Bamboo-Version Git v2.30.7+ unterstützt.

Für Kunden, die ein Crucible Docker Image verwenden

Alle Images im Support-Lebenszyklus wurden aktualisiert, um eine gepatchte Version von Git zu verwenden.

Bitte laden Sie die Images erneut herunter, um die neuesten Änderungen zu übernehmen.

Ebenso müssen Kunden, die ein Fisheye Bild an einen Hash pinnen, auf die neueste Hash-Version aktualisieren, die mit dem jeweiligen Bild-Tag verbunden ist.

Für Kunden, die Git für Windows verwenden

Bitte aktualisieren Sie auf die neueste Version von Git für Windows.

Aktuell hat Git für Windows keine Pläne für backport fixes.


Betroffene Versionen

Alle Versionen von Sourcetree für Mac und Windows sind anfällig.

Gefixte Versionen

Das Sourcetree-Team arbeitet aktiv an der Aktualisierung der eingebetteten Git-Binärdateien auf v2.39.1 für die nächste Produktversion.

  • Mac: v4.2.2

  • Windows: v3.4.12

Maßnahmen zur Abhilfe

Während das Sourcetree-Team an der Aktualisierung der eingebetteten Git-Binärdatei arbeitet, empfehlen wir Kunden, Sourcetree auf eine gepatchte Git-Systemversion umzustellen.


Git Buffer Overflow in Multiple Products - CVE-2022-41903, CVE-2022-23521

Dear customer,

This advisory addresses a pair of critical security vulnerabilities in Git that affect multiple Atlassian products.

CVE-2022-41903 - Heap overflow in git archive, git log --format

(info) Git Security Advisory - CVE-2022-41903 

git log has the ability to display commits using an arbitrary format with its --format specifiers. This functionality is also exposed to git archive via the export-subst gitattribute.

When processing the padding operators for formatting (e.g., %<(, %<|(, %>(, >>(, or %><(), an integer overflow can occur. This overflow can be triggered directly by a user running a command that invokes the commit formatting machinery, or indirectly through git archive and the export-subst mechanism.

The integer overflow results in arbitrary heap writes, which may result in remote code execution.

CVE-2022-23531 - gitattributes parsing integer overflow

(info) Git Security Advisory - CVE-2022-23521

gitattributes are a mechanism to allow defining attributes for paths. These attributes can be defined by adding a .gitattributes file to the repository, which contains a set of file patterns and the attributes that should be set for paths matching this pattern.

When parsing gitattributes, multiple integer overflows can occur when there is a huge number of path patterns, a huge number of attributes for a single pattern, or when the declared attribute names are huge. These overflows can be triggered via a crafted .gitattributes file that may be part of the commit history.

This integer overflow can result in arbitrary heap reads and writes, which may result in remote code execution.


Atlassian rates the severity level of these vulnerabilities as critical, according to the scale published in our Atlassian severity levels. The scale allows us to rank the severity as critical, high, moderate or low.

This is our assessment and you should evaluate its applicability to your own IT environment.

Affected Products

(info) Git has released patches for both vulnerabilities for versions >= v2.30.7

Bitbucket Server and Data Center

Affected Versions

All versions of Bitbucket Server and Bitbucket Data Center are affected.

Patch Recommendations

Git Configuration


For customers providing Git themselves

Atlassian recommends customers upgrade to the latest patched and supported version of Git available.

Please refer to the supported platforms page for a particular version of Bitbucket to find if it supports Git v2.30.7+.

Customers using versions of Bitbucket Server and Data Center < 7.9 will need to upgrade Bitbucket to a later version to support a patched version of Git.

However, for customers running Bitbucket 7.6, the Bitbucket Team has tested and confirmed that Git v2.30.7 should work.

For customers using a Bitbucket Docker Image

All images in the support lifecycle for Bitbucket have been updated to use a patched version of Git.

Please re-download the images to pull the latest changes.

Similarly, customers that pin a Bitbucket image to a hash need to update to the latest hash version associated with the respective image tag.

For customers using Git for Windows

The Bitbucket team has released version v7.21.9, which adds support for Git v2.39.x.

Please update to the latest patched and supported version of Git available.

Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities.

Bamboo Server and Data Center

Affected Versions

All versions of Bamboo are affected.

Patch Recommendations

Git Configuration


For customers providing Git themselves

Atlassian recommends customers update Git at the Bamboo server and remote agents to the latest patched and supported version available.

Please refer to the supported platforms page for a particular version of Bamboo to see if it supports Git v2.30.7+

For customers using a Bamboo Docker Image

All images in the support lifecycle have been updated to use a patched version of Git.

Please re-download the images to pull the latest changes.

Similarly, customers that pin a Bamboo image to a hash need to update to the latest hash version associated with the respective image tag.

For customers using Elastic Bamboo

New AMIs have been prepared with a patched Git Version for Linux and Windows in supported regions in the upcoming Bamboo 9.1.3 release. Customers not wanting to wait for the release can add a line to update Git in the image startup script at the existing image configuration screen or download and use the AMIs before the official release..

For customers using Git for Windows

Please update to the latest version of Git for Windows

Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities.

Fisheye Server

Affected Versions

All versions of Fisheye are affected.

Patch Recommendations

Git Configuration


For customers providing Git themselves

Atlassian recommends customers upgrade to the latest patched and supported version of Git available.

Please refer to the supported platforms page for a particular version of Fisheye to see if it supports Git v2.30.7+

For customers using a Fisheye Docker Image

All images in the support lifecycle have been updated to use a patched version of Git.

Please re-download the images to pull the latest changes.

Similarly, customers that pin a Fisheye image to a hash need to update to the latest hash version associated with the respective image tag.

For customers using Git for Windows

Please update to the latest version of Git for Windows

Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities.

Crucible Server

Affected Versions

All versions of Crucible are affected

Patch Recommendations

Git Configuration


For customers providing Git themselves

Atlassian recommends customers upgrade to the latest patched and supported version of Git available.

Please refer to the supported platforms page for a particular version of Fisheye to see if it supports Git v2.30.7+

For customers using a Crucible Docker Image

All images in the support lifecycle have been updated to use a patched version of Git.

Please re-download the images to pull the latest changes.

Similarly, customers that pin a Crucible image to a hash need to update to the latest hash version associated with the respective image tag.

For customers using Git for Windows

Please update to the latest version of Git for Windows

Currently, Git for Windows does not have plans to backport fixes for these vulnerabilities.


Affected Versions

All versions of Sourcetree for Mac and Windows are vulnerable.

Fixed Versions

The Sourcetree team is actively working on updating embedded Git binaries to v2.39.1 for the next product release version.

  • Mac: v4.2.2

  • Windows: v3.4.12


While the Sourcetree team is working on updating the embedded Git binary, we recommend customers switch Sourcetree to use a patched system Git version.

