bitvoodoo Advisories
Space shortcuts
Space Tools
bitvoodoo Advisories BVADVIS

Versions Compared

Old Version 3

changes.mady.by.user Miro Meier

Saved on

compared with

New Version Current

changes.mady.by.user Viktoria Tempfli

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.



Warning

This is a public space:

For the draft, please restrict the page during creation and
remove this warning when page is published


English

Contents

German

Inhalte

French

Contenu



Table of Contents


Page properties


Date

 

ProductsProduct

Atlassian Server and Data Center

  • Confluence Data Center and Server
  • Jira Software Data Center and Server
  • Jira Service Management Data Center and Server
  • Jira Core Data Center and Server
  • Bitbucket Data Center and Server

Atlassian Server and Data Center 3rd-party Apps

  • Confluence Cloud Migration App (CCMA)

  • Automation for Jira (A4J) app (including Server Lite edition)

  • Assets Discovery (stand-alone app)

Atlassian Cloud

  • Jira Service Management Cloud → Assets Discovery (stand-alone app)

VulnerabilityCritical
CVE

CVE-2022-1471, CVE-2023-22522, CVE-2023-22524, CVE-2023-22523

Official link

https://

atlassianpartners

confluence.atlassian.

net

com/

wiki/spaces/news/blog/2023/12/04/368808312/Advanced+Notice+RCE+Vulnerabilities+Identified+in+Multiple+Products+-+December+6+2023

(warning) needs to be replaced

security/december-2023-security-advisories-overview-1318892103.html




Multiple Products Security Advisory - CVE-2022-1471, CVE-2023-22522, CVE-2023-22524, CVE-2023-22523



Affected versions CVE-2023-22524 - RCE Vulnerability in Atlassian Companion App for MacOS

Fixed Versions

English

Dear customer,

On the 6th of December 2023, 12am EST, Atlassian issued four Security Advisories for it's its on-premise software products, the Confluence Cloud Migration App, and the Assets Discovery (stand-alone app) for Cloud and on-premise.

What you need to know

Atlassian has discovered four critical vulnerabilities impacting customers of the products listed below. All four vulnerabilities carry a critical CVSS score of 9.0 or higher, and customers must take immediate action to protect their instances.

Affected versions CVE-2022-1471 - SnakeYAML library RCE Vulnerability Impacts Multiple Products

Product

Affected Versions

Confluence Data Center and Server

  • 6.13.x

  • 6.14.x

  • 6.15.x

  • 7.0.x

  • 7.1.x

  • 7.2.x

  • 7.3.x

  • 7.4.x

  • 7.5.x

  • 7.6.x

  • 7.7.x

  • 7.8.x

  • 7.9.x

  • 7.10.x

  • 7.11.x

  • 7.12.x

  • 7.13.0

  • 7.13.1

  • 7.13.2

  • 7.13.3

  • 7.13.4

  • 7.13.5

  • 7.13.6

  • 7.13.7

  • 7.13.8

  • 7.13.9

  • 7.13.10

  • 7.13.11

  • 7.13.12

  • 7.13.13

  • 7.13.14

  • 7.13.15

  • 7.13.16

  • 7.13.17

  • 7.14.x

  • 7.15.x

  • 7.16.x

  • 7.17.x

  • 7.18.x

  • 7.19.0

  • 7.19.1

  • 7.19.2

  • 7.19.3

  • 7.19.4

  • 7.19.5

  • 7.19.6

  • 7.19.7

  • 7.19.8

  • 7.19.9

  • 7.20.x

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.0

Jira Software Data Center and Server

  • 9.4.0

  • 9.4.1

  • 9.4.2

  • 9.4.3

  • 9.4.4

  • 9.4.5

  • 9.4.6

  • 9.4.7

  • 9.4.8

  • 9.4.9

  • 9.4.10

  • 9.4.11

  • 9.4.12

  • 9.5.x

  • 9.6.x

  • 9.7.x

  • 9.8.x

  • 9.9.x

  • 9.10.x

  • 9.11.0

  • 9.11.1

Jira Service Management Data Center and Server

  • 5.4.0

  • 5.4.1

  • 5.4.2

  • 5.4.3

  • 5.4.4

  • 5.4.5

  • 5.4.6

  • 5.4.7

  • 5.4.8

  • 5.4.9

  • 5.4.10

  • 5.4.11

  • 5.4.12

  • 5.5.x

  • 5.6.x

  • 5.7.x

  • 5.8.x

  • 5.9.x

  • 5.10.x

  • 5.11.0

  • 5.11.1

Jira Core Data Center and Server

  • 9.4.0

  • 9.4.1

  • 9.4.2

  • 9.4.3

  • 9.4.4

  • 9.4.5

  • 9.4.6

  • 9.4.7

  • 9.4.8

  • 9.4.9

  • 9.4.10

  • 9.4.11

  • 9.4.12

  • 9.5.x

  • 9.6.x

  • 9.7.x

  • 9.8.x

  • 9.9.x

  • 9.10.x

  • 9.11.0

  • 9.11.1

Bitbucket Data Center and Server

  • 7.17.x

  • 7.18.x

  • 7.19.x

  • 7.20.x

  • 7.21.0

  • 7.21.1

  • 7.21.2

  • 7.21.3

  • 7.21.4

  • 7.21.5

  • 7.21.6

  • 7.21.7

  • 7.21.8

  • 7.21.9

  • 7.21.10

  • 7.21.11

  • 7.21.12

  • 7.21.13

  • 7.21.14

  • 7.21.15

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.x

  • 8.4.x

  • 8.5.x

  • 8.6.x

  • 8.7.x

  • 8.8.0

  • 8.8.1

  • 8.8.2

  • 8.8.3

  • 8.8.4

  • 8.8.5

  • 8.8.6

  • 8.9.0

  • 8.9.1

  • 8.9.2

  • 8.9.3

  • 8.10.0

  • 8.10.1

  • 8.10.2

  • 8.10.3

  • 8.11.0

  • 8.11.1

  • 8.11.2

  • 8.12.0

Confluence Cloud Migration App (CCMA)

Automation for Jira (A4J) app (including Server Lite edition)

  • 9.0.1

  • 9.0.0

  • <= 8.2.2

Affected versions CVE-2023-22522 - RCE Vulnerability in Confluence Data Center and Server

Product

Affected Versions

Confluence Data Center and Server

  • 4.
0
  • x.
0
  • x
7
  • 5.
20
  • x.
0
  • x
8
  • 6.
0
  • x.
0
  • x
8
  • 7.
6
  • x.
0

Affected Versions CVE-2023-22523 - RCE Vulnerability in Assets Discovery (stand-alone app)

Product

Affected Versions

Assets Discovery (Jira Service Management Cloud)

  • Insight Discovery 1.0 - 3.1.3

  • Assets Discovery 3.1.4 - 3.1.7

  • Assets Discovery 3.1.8-cloud - 3.1.11-cloud

Assets Discovery (Jira Service Management Data Center and Server)

  • Insight Discovery 1.0 - 3.1.7

  • Assets Discovery 3.1.9 - 3.1.11

  • Assets Discovery 6.0.0 - 6.1.14, 6.1.14-jira-dc-8

Product

Affected Versions

Atlassian Companion App for MacOS

All versions (MacOS) up to but not including 2.0.0 are affected by the vulnerability.

Note

bitvoodoo recommends using the latest LTS releases of Jira, Confluence, and Bitbucket.

Product

Fixed Versions

Confluence Data Center and Server

  • 7.19.17 (LTS)

  • 8.4.5

  • 8.5.4 (LTS)

  • 8.6.2

  • 8.7.0

Jira Software Data Center and Server

  • 9.11.2

  • 9.12.0 (LTS)

  • 9.4.13 (LTS)

Jira Service Management Data Center and Server

  • 5.11.2

  • 5.12.0 (LTS)

  • 5.4.13 (LTS)

Jira Core Data Center and Server

  • 9.11.2

  • 9.12.0 (LTS)

  • 9.4.13 (LTS)

Bitbucket Data Center and Server

  • 7.21.16 (LTS)

  • 8.10.4

  • 8.11.3

  • 8.12.1

  • 8.13.0

  • 8.8.7

  • 8.9.4 (LTS)

Confluence Cloud Migration App (CCMA)

  • 3.4.0

Automation for Jira (A4J) app (including Server Lite edition)

  • 9.0.2

  • 8.2.4

Assets Discovery (Jira Service Management Cloud)

  • Assets Discovery 3.2.0-cloud or later

Assets Discovery (Jira Service Management Data Center and Server)

  • Assets Discovery 6.2.0 or later

Atlassian Companion App for MacOS

  • 2.0.0

What should I do? - On-Premise Products

Localtab Group
Localtab
activetrue
titleServer & Data Center
tabIconbvicon-server

You use the Server or Data Center variant of any Atlassian application in a version listed in Affected Versions.

Update

Update to a version listed in Fixed Versions.

Note

bitvoodoo recommends using the latest LTS releases of Jira, Confluence and Bitbucket.

Workaround

There are currently no workarounds.

Localtab
titleCloud
tabIconbvicon-cloud

You use Jira, Confluence or Bitbucket Cloud.

Tip

You are not affected by this Security Advisory.

No need for action.

Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

You use Jira, Confluence or Bitbucket Server or Data Center hosted with bitvoodoo.

Update

LTS Update Package Customers will get an update to the latest LTS release free of charge as soon as possible.

bitvoodoo Cloud customers who do not have an LTS update package will be contacted by bitvoodoo in the coming days for coordination for an update.

Workaround

There are currently no workarounds.

Further Reading

  • CVE-2022-26136
  • CVE-2022-26137
  • CVE-2022-26138

  • Multiple Products Security Advisory - 2022-07-20

  • Questions For Confluence App Security Advisory - 2022-07-20

Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.

German

Sehr geehrte Kunden,

Atlassian hat am 20. Juli 2022, 10 Uhr MESZ, zwei Security Advisories für seine On-Premise-Softwareprodukte und die Confluence-App Questions for Confluence veröffentlicht. Die Cloud-Versionen der Anwendungen sind nicht betroffen.

Was Sie wissen müssen

Atlassian wurde auf eine kritische Sicherheitslücke in seinen On-Premise-Softwareprodukten aufmerksam gemacht, die durch Arbitrary Servlet Filter Bypass und Additional Servlet Filter Invocation entsteht. Weitere Details zu dieser Sicherheitslücke finden Sie im Multiple Products Security Advisory - 2022-07-20. Die einzige Möglichkeit, die Anwendungen abzusichern, ist ein Update auf eine korrigierte Version. 

Darüber hinaus hat Atlassian eine Sicherheitslücke in der App Questions für Confluence bekannt gegeben, die durch einen Systembenutzer mit fest hinterlegten Benutzeranmeldeinformationen verursacht wird. Weitere Details zu dieser Sicherheitslücke finden Sie im Questions for Confluence App Security Advisory - 2022-07-20. Ein Update von Questions for Confluence behebt diese Sicherheitslücke.

Betroffene Versionen

Produkt

Betroffene Versionen

Bamboo Server and Data Center

  • Versionen < 8.0.9

  • 8.1.x < 8.1.8

  • 8.2.x < 8.2.4

Bitbucket Server and Data Center

  • Versionen < 7.6.16

  • Alle Versionen 7.7.x bis 7.16.x

  • 7.17.x < 7.17.8

  • Alle Versionen 7.18.x

  • 7.19.x < 7.19.5

  • 7.20.x < 7.20.2

  • 7.21.x < 7.21.2

  • 8.0.0

  • 8.1.0

Confluence Server and Data Center

  • Versionen < 7.4.17

  • Alle Versionen 7.5.x bis 7.12.x

  • 7.13.x < 7.13.7

  • 7.14.x < 7.14.3

  • 7.15.x < 7.15.2

  • 7.16.x < 7.16.4

  • 7.17.x < 7.17.4

  • 7.18.0

Crowd Server and Data Center

  • Versionen < 4.3.8

  • 4.4.x < 4.4.2

  • 5.0.0

Crucible

  • Versionen < 4.8.10

Fisheye

  • Versionen < 4.8.10

Jira Server and Data Center

  • Versionen < 8.13.22

  • Alle Versionen 8.14.x bis 8.19.x

  • 8.20.x < 8.20.10

  • Alle Versionen 8.21.x

  • 8.22.x < 8.22.4

Jira Service Management Server and Data Center

  • Versionen < 4.13.22

  • Alle Versionen 4.14.x bis 4.19.x

  • 4.20.x < 4.20.10

  • Alle Versionen 4.21.x

  • 4.22.x < 4.22.4

Questions for Confluence 

Fix-Versionen

Note

bitvoodoo empfiehlt die Verwendung der neusten LTS Versionen von Jira, Confluence und Bitbucket.

Produkt

Fix-Versionen

Bamboo Server and Data Center

  • >= 8.0.9

  • >= 8.1.8

  • >= 8.2.4

  • >= 9.0.0

Bitbucket Server and Data Center

  • >= 7.6.16 (LTS)

  • >= 7.17.8 (LTS)

  • >= 7.19.5

  • >= 7.20.2

  • >= 7.21.2 (LTS)

  • >= 8.0.1

  • >= 8.1.1

  • >= 8.2.0

Confluence Server and Data Center

  • >= 7.4.17 (LTS)

  • >= 7.13.7 (LTS)

  • >= 7.14.3

  • >= 7.15.2

  • >= 7.16.4

  • >= 7.17.4

  • >= 7.18.1

  • >= 7.19.0

Crowd Server and Data Center

  • >= 4.3.8

  • >= 4.4.2

  • >= 5.0.1

Crucible

  • >= 4.8.10

Fisheye

  • >= 4.8.10

Jira Server and Data Center

  • >= 8.13.22 (LTS)

  • >= 8.20.10 (LTS)

  • >= 8.22.6

  • >= 9.0.0

Jira Service Management Server and Data Center

  • >= 4.13.22 (LTS)

  • >= 4.20.10 (LTS)

  • >= 4.22.6

  • >= 5.0.0

  • x
  • 8.0.x
  • 8.1.x
  • 8.2.x
  • 8.3.x
  • 8.4.0
  • 8.4.1
  • 8.4.2
  • 8.4.3
  • 8.4.4
  • 8.5.0
  • 8.5.1
  • 8.5.2
  • 8.5.3

Confluence Data Center

  • 8.6.0

  • 8.6.1

Affected Versions CVE-2023-22523 - RCE Vulnerability in Assets Discovery (stand-alone app)

Product

Affected Versions

Assets Discovery (Jira Service Management Cloud)

  • Insight Discovery 1.0 - 3.1.3

  • Assets Discovery 3.1.4 - 3.1.7

  • Assets Discovery 3.1.8-cloud - 3.1.11-cloud

Assets Discovery (Jira Service Management Data Center and Server)

  • Insight Discovery 1.0 - 3.1.7

  • Assets Discovery 3.1.9 - 3.1.11

  • Assets Discovery 6.0.0 - 6.1.14, 6.1.14-jira-dc-8

Affected versions CVE-2023-22524 - RCE Vulnerability in Atlassian Companion App for MacOS

Product

Affected Versions

Atlassian Companion App for MacOS

All versions (MacOS) up to but not including 2.0.0 are affected by the vulnerability.

Fixed Versions

Note

bitvoodoo recommends using the latest LTS releases of Jira, Confluence, and Bitbucket.


Product

Fixed Versions

Confluence Data Center and Server

  • 7.19.17 (LTS)

  • 8.4.5

  • 8.5.4 (LTS)

  • 8.6.2 or later (Data Center Only)

  • 8.7.0 or later (Data Center Only)

Jira Software Data Center and Server

  • 9.11.2

  • 9.12.0 (LTS)

  • 9.4.13 (LTS)

Jira Service Management Data Center and Server

  • 5.11.2

  • 5.12.0 (LTS)

  • 5.4.14 (LTS)

Jira Core Data Center and Server

  • 9.11.2

  • 9.12.0 (LTS)

  • 9.4.13 (LTS)

Bitbucket Data Center and Server

  • 7.21.16 (LTS)

  • 8.8.7

  • 8.9.4 (LTS)

  • 8.10.4

  • 8.11.3

  • 8.12.1

  • 8.13.0

  • 8.14.0

  • 8.15.0 (Data Center Only)

  • 8.16.0 (Data Center Only)

Confluence Cloud Migration App (CCMA)

  • 3.4.0

Automation for Jira (A4J) app (including Server Lite edition)

  • 9.0.2

  • 8.2.4

Assets Discovery (Jira Service Management Cloud)

  • Assets Discovery 3.2.0-cloud or later

Assets Discovery (Jira Service Management Data Center and Server)

  • Assets Discovery 6.2.0 or later

Atlassian Companion App for MacOS

  • 2.0.0 or later


What should I do? - On-Premise Products

Localtab Group


Localtab
activetrue
titleServer & Data Center
tabIconbvicon-server

You use the Server or Data Center variant of any Atlassian application in a version listed in Affected Versions.

Update for Server & Data Center

Update to a version listed in Fixed Versions.

Note

bitvoodoo recommends using the latest LTS releases of Jira, Confluence and Bitbucket.

Workaround for Server & Data Center

There are currently no workarounds.


Localtab
titleCloud
tabIconbvicon-cloud

You use Assets Discovery (standalone app) in Jira Service Management Cloud

Note

Update to Assets Discovery 3.2.0-cloud or later

If you don't use Assets Discovery (standalone app) you are not affected by the vulnerability.

Was soll ich tun?

Multiple Products Security Advisory - Servlet Filter Dispatcher Vulnerabilities - CVE-2022-26136, CVE-2022-26137

Localtab Group
Localtab
activetrue
titleServer & Data Center
tabIconbvicon-server

Sie verwenden die Server- oder Data Center-Variante eines Atlassian-Produkt in einer Version, die unter Betroffene Versionen aufgeführt ist.

Update

Aktualisieren Sie auf eine Version, die unter Fix-Versionen aufgeführt ist.

Note

bitvoodoo empfiehlt die Verwendung der neusten LTS Versionen von Jira, Confluence und Bitbucket.

Workaround

Derzeit gibt es keinen Workaround.

Localtab
titleCloud
tabIconbvicon-cloud

Sie verwenden Jira, Confluence oder Bitbucket Cloud.

Tip

Sie sind von diesem Security Advisory nicht betroffen.

Es besteht kein Handlungsbedarf.

Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Sie verwenden Jira, Confluence oder Bitbucket Server oder Data Center gehostet mit bitvoodoo.

Update

LTS Update Package Kunden erhalten so schnell wie möglich ein kostenloses Update auf die neueste LTS-Version.

bitvoodoo Cloud Kunden, die kein LTS Update Paket haben, werden in den kommenden Tagen für die Koordination für ein Update von bitvoodoo kontaktiert.

Workaround

Derzeit gibt es keinen Workaround.

Questions For Confluence App Security Advisory- Hardcoded Credentials - CVE-2022-26138

Localtab Group
Localtab
titleServer & Data Center
tabIconbvicon-server

Sie verwenden die App Questions for Confluence in Confluence Server oder Data Center.

Bestimmen Sie, ob Sie betroffen sind

Stellen Sie fest ob ihre Instanz betroffen ist indem sie prüfen ob der disabledsystemuser User-Account existiert und aktiviert ist. Wenn dieses Konto nicht in der Liste der aktiven Benutzer auftaucht, ist die Confluence-Instanz nicht betroffen.

Update the App

Updaten Sie Questions for Confluence:

  • 2.7.x >= 2.7.38 (compatible with Confluence 6.13.18 through 7.16.2)

  • Versions >= 3.0.5 (compatible with Confluence 7.16.3 and later)

Workaround

Suchen Sie den disabledsystemuser User-Account und deaktivieren oder löschen Sie den User. Anweisungen zum Deaktivieren oder Löschen eines Users (einschliesslich einer Erklärung der Unterschiede zwischen den beiden Optionen) finden Sie unter:

Localtab
titleCloud
tabIconbvicon-cloud

Sie verwenden Confluence Cloud.

Tip

Sie sind von diesem Security Advisory nicht betroffen.

Es besteht kein Handlungsbedarf.

Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

You use the app Questions for Confluence in Confluence Server or Data Center hosted with bitvoodoo.

Tip

bitvoodoo hat bereits Questions for Confluence in allen Confluence-Installationen, die mit bitvoodoo gehostet werden, aktualisiert.

Es besteht kein Handlungsbedarf.

Weitere Informationen

  • CVE-2022-26136
  • CVE-2022-26137
  • CVE-2022-26138

  • Multiple Products Security Advisory - 2022-07-20

  • Questions For Confluence App Security Advisory - 2022-07-20

Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via  support.bitvoodoo.ch .

French

Cher client,

Le 20 juillet 2022 à 22 heures CEST, Atlassian a émis deux avis de sécurité pour ses produits logiciels sur site et les questions relatives à l'application Confluence. Les versions Cloud des applications ne sont pas concernées.

Ce qu'il faut savoir

Atlassian a été informé d'une vulnérabilité critique dans ses produits logiciels sur site via un contournement arbitraire du filtre de servlet et une invocation supplémentaire du filtre de servlet. De plus amples détails sur cette vulnérabilité sont disponibles dans l'avis de sécurité de Multiple Products - 2022-07-20. Le seul moyen actuel de sécuriser les applications est de mettre à jour les versions corrigées. 

De plus, Atlassian a divulgué une vulnérabilité dans l'application Questions pour Confluence due à un utilisateur système avec des informations d'identification d'utilisateur codées. Plus de détails sur la vulnérabilité sont disponibles dans Questions For Confluence App Security Advisory - 2022-07-20. La mise à jour de Questions for Confluence corrige cette vulnérabilité.

Versions concernées

Produit

Versions concernées

Bamboo Serveur et Data Center

  • Versions < 8.0.9

  • 8.1.x < 8.1.8

  • 8.2.x < 8.2.4

Bitbucket Serveur et Data Center

  • Versions < 7.6.16

  • Toutes les versions 7.7.x jusqu'à 7.16.x

  • 7.17.x < 7.17.8

  • Toutes les versions 7.18.x

  • 7.19.x < 7.19.5

  • 7.20.x < 7.20.2

  • 7.21.x < 7.21.2

  • 8.0.0

  • 8.1.0

Confluence Serveur et Data Center

  • Versions < 7.4.17

  • Toutes les versions 7.5.x Jusqu'à 7.12.x

  • 7.13.x < 7.13.7

  • 7.14.x < 7.14.3

  • 7.15.x < 7.15.2

  • 7.16.x < 7.16.4

  • 7.17.x < 7.17.4

  • 7.18.0

Crowd Serveur et Data Center

  • Versions < 4.3.8

  • 4.4.x < 4.4.2

  • 5.0.0

Crucible

  • Versions < 4.8.10

Fisheye

  • Versions < 4.8.10

Jira Serveur et Data Center

  • Versions < 8.13.22

  • Toutes les versions 8.14.x jusqu'à 8.19.x

  • 8.20.x < 8.20.10

  • Toutes les versions 8.21.x

  • 8.22.x < 8.22.4

Jira Service Management Serveur et Data Center

  • Versions < 4.13.22

  • Toutes les versions 4.14.x jusqu'à 4.19.x

  • 4.20.x < 4.20.10

  • Toutes les versions 4.21.x

  • 4.22.x < 4.22.4

Questions for Confluence 

  • Versions 2.7.x et 3.0.x peuvent être concernées

Versions sécurisées

Note

bitvoodoo recommande d'utiliser les dernières versions LTS de Jira, Confluence et Bitbucket

Product

Fixed Versions

Bamboo Serveur et Data Center

  • >= 8.0.9

  • >= 8.1.8

  • >= 8.2.4

  • >= 9.0.0

Bitbucket Serveur et Data Center

  • >= 7.6.16 (LTS)

  • >= 7.17.8 (LTS)

  • >= 7.19.5

  • >= 7.20.2

  • >= 7.21.2 (LTS)

  • >= 8.0.1

  • >= 8.1.1

  • >= 8.2.0

Confluence Serveur et Data Center

  • >= 7.4.17 (LTS)

  • >= 7.13.7 (LTS)

  • >= 7.14.3

  • >= 7.15.2

  • >= 7.16.4

  • >= 7.17.4

  • >= 7.18.1

  • >= 7.19.0

Crowd Serveur et Data Center

  • >= 4.3.8

  • >= 4.4.2

  • >= 5.0.1

Crucible

  • >= 4.8.10

Fisheye

  • >= 4.8.10

Jira Serveur et Data Center

  • >= 8.13.22 (LTS)

  • >= 8.20.10 (LTS)

  • >= 8.22.6

  • >= 9.0.0

Jira Service Management Serveur et Data Center

  • >= 4.13.22 (LTS)

  • >= 4.20.10 (LTS)

  • >= 4.22.6

  • >= 5.0.0

Que dois-je faire? - Produits On-Premise 

Localtab Group
Localtab
activetrue
titleServer & Data Center
tabIconbvicon-server

Vous utilisez la variante Server ou Data Center d'une application Atlassian dans une version répertoriée dans Versions affectées.

Mise à jour

Effectuez une mise à jour vers une version répertoriée dans Versions fixes.

Note

bitvoodoo recommande d'utiliser les dernières versions LTS de Jira, Confluence et Bitbucket.

Mesure de contournement

Il n'existe actuellement aucune solution de contournement.

Localtab
titleCloud
tabIconbvicon-cloud

Vous utilisez Jira, Confluence ou Bitbucket Cloud.

Tip

Vous n'êtes pas concerné par cet avis de sécurité.

Aucune action nécessaire

Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Vous utilisez Jira, Confluence ou Bitbucket Server ou Data Center hébergé chez bitvoodoo.

Mise à jour

Les clients ayant opté pour le paquet de mise à jour LTS vont recevoir une mise à jour gratuite dès que possible.

Les client hébergés dans le cloud bitvoodoo sans les mises à jour LTS seront contactés par bitvoodoo dans les jours à venir afin de coordonner une mise à jour.

Mesure de contournement

Il n'existe actuellement aucune solution de contournement.

Que dois-je faire - Questions For Confluence

Localtab Group
Localtab
titleServer & Data Center
tabIconbvicon-server

Vous utilisez l'application Questions pour Confluence dans Confluence Server ou Data Center.

Déterminer si vous êtes affecté

Déterminez si vous êtes concerné en recherchant le compte utilisateur suivant disabledsystemuser. Si ce compte n'apparaît pas dans la liste des utilisateurs actifs, l'instance de Confluence n'est pas affectée.

Mettre l'app à jour 

Mettez à jour l'application Questions for Confluence vers une version corrigée :

  • 2.7.x >= 2.7.38 (compatible avec Confluence 6.13.18 jusqu'à 7.16.2)

  • Versions >= 3.0.5 (compatible avec Confluence 7.16.3 et ultérieures)

Solution de contournement

Chechez le compte utilisateur disabledsystemuser et désactivez ou supprimez le. Pour obtenir des instructions sur la manière de désactiver ou de supprimer un compte (y compris une explication des différences entre les deux options), consultez le site :

Localtab
titleCloud
tabIconbvicon-cloud

Vous utilisez Confluence Cloud.

Tip

Vous n'êtes pas concerné par cet avis de sécurité.

Aucune action nécessaire


Localtab
titlebitvoodoo Cloud
tabIconbvicon-cloud

Vous utilisez l'app Questions for Confluence dans Confluence Server ou Data Center hébergé par bitvoodoo.

Tip

bitvoodoo a déjà mis à jour Questions for Confluence dans toutes les installations Confluence bitvoodoo.

Aucune action nécessaire

Further Reading

  • CVE-2022-26136
  • CVE-2022-26137
  • CVE-2022-26138

  • Multiple Products Security Advisory - 2022-07-20

  • Questions For Confluence App Security Advisory - 2022-07-20

Support

You use Jira, Confluence or Bitbucket Server or Data Center hosted with bitvoodoo.

Update for bitvoodoo Cloud

LTS Update Package Customers will get an update to the latest LTS release free of charge as soon as possible.

bitvoodoo Cloud customers who do not have an LTS update package will be contacted by bitvoodoo in the coming days for coordination for an update.

Workaround for bitvoodoo Cloud

There are currently no workarounds.


Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via Si vous avez des questions concernant cette faille de sécurité, veuillez contact le support de bitvoodoo par e-mail support.bitvoodoo.ch.





bitvoodoo Advisories BVADVIS