Page History
Warning |
---|
This is a public space: For the draft, please restrict the page during creation and |
English |
---|
Contents |
German |
---|
Inhalte |
French |
---|
Contenu |
Table of Contents |
---|
Page properties | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
|
Multiple Products Security Advisory - CVE-2022-1471, CVE-2023-22522, CVE-2023-22524, CVE-2023-22523
English | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Dear customer, On the 6th of December 2023, 12am EST, Atlassian issued four Security Advisories for it's its on-premise software products, the Confluence Cloud Migration App, and the Assets Discovery (stand-alone app) for Cloud and on-premise. What you need to knowAtlassian has discovered four critical vulnerabilities impacting customers of the products listed below. All four vulnerabilities carry a critical CVSS score of 9.0 or higher, and customers must take immediate action to protect their instances. Affected versions CVE-2022-1471 - SnakeYAML library RCE Vulnerability Impacts Multiple Products
Affected versions CVE-2023-22522 - RCE Vulnerability in Confluence Data Center and Server
Affected Versions CVE-2023-22523 - RCE Vulnerability in Assets Discovery (stand-alone app) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Product | Affected Versions | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Assets Discovery (Jira Service Management Cloud) |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Assets Discovery (Jira Service Management Data Center and Server) |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Product | Affected Versions | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Atlassian Companion App for MacOS | All versions (MacOS) up to but not including 2.0.0 are affected by the vulnerability. |
Note |
---|
bitvoodoo recommends using the latest LTS releases of Jira, Confluence, and Bitbucket. |
Product | Fixed Versions |
---|---|
Confluence Data Center and Server |
|
Jira Software Data Center and Server |
|
Jira Service Management Data Center and Server |
|
Jira Core Data Center and Server |
|
Bitbucket Data Center and Server |
|
Confluence Cloud Migration App (CCMA) |
|
Automation for Jira (A4J) app (including Server Lite edition) |
|
Assets Discovery (Jira Service Management Cloud) |
|
Assets Discovery (Jira Service Management Data Center and Server) |
|
Atlassian Companion App for MacOS |
|
What should I do? - On-Premise Products
Localtab | ||||||
---|---|---|---|---|---|---|
| ||||||
You use the Server or Data Center variant of any Atlassian application in a version listed in Affected Versions. UpdateUpdate to a version listed in Fixed Versions.
WorkaroundThere are currently no workarounds. |
Localtab | ||||
---|---|---|---|---|
| ||||
You use Jira, Confluence or Bitbucket Cloud.
No need for action. |
Localtab | ||||
---|---|---|---|---|
| ||||
You use Jira, Confluence or Bitbucket Server or Data Center hosted with bitvoodoo. UpdateLTS Update Package Customers will get an update to the latest LTS release free of charge as soon as possible. bitvoodoo Cloud customers who do not have an LTS update package will be contacted by bitvoodoo in the coming days for coordination for an update. WorkaroundThere are currently no workarounds. |
Further Reading
- CVE-2022-26136
- CVE-2022-26137
- CVE-2022-26138
Multiple Products Security Advisory - 2022-07-20
Questions For Confluence App Security Advisory - 2022-07-20
Support
If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.
Sehr geehrte Kunden,
Atlassian hat am 20. Juli 2022, 10 Uhr MESZ, zwei Security Advisories für seine On-Premise-Softwareprodukte und die Confluence-App Questions for Confluence veröffentlicht. Die Cloud-Versionen der Anwendungen sind nicht betroffen.
Was Sie wissen müssen
Atlassian wurde auf eine kritische Sicherheitslücke in seinen On-Premise-Softwareprodukten aufmerksam gemacht, die durch Arbitrary Servlet Filter Bypass und Additional Servlet Filter Invocation entsteht. Weitere Details zu dieser Sicherheitslücke finden Sie im Multiple Products Security Advisory - 2022-07-20. Die einzige Möglichkeit, die Anwendungen abzusichern, ist ein Update auf eine korrigierte Version.
Darüber hinaus hat Atlassian eine Sicherheitslücke in der App Questions für Confluence bekannt gegeben, die durch einen Systembenutzer mit fest hinterlegten Benutzeranmeldeinformationen verursacht wird. Weitere Details zu dieser Sicherheitslücke finden Sie im Questions for Confluence App Security Advisory - 2022-07-20. Ein Update von Questions for Confluence behebt diese Sicherheitslücke.
Betroffene Versionen
Produkt
Betroffene Versionen
Bamboo Server and Data Center
Versionen < 8.0.9
8.1.x < 8.1.8
8.2.x < 8.2.4
Bitbucket Server and Data Center
Versionen < 7.6.16
Alle Versionen 7.7.x bis 7.16.x
7.17.x < 7.17.8
Alle Versionen 7.18.x
7.19.x < 7.19.5
7.20.x < 7.20.2
7.21.x < 7.21.2
8.0.0
8.1.0
Confluence Server and Data Center
Versionen < 7.4.17
Alle Versionen 7.5.x bis 7.12.x
7.13.x < 7.13.7
7.14.x < 7.14.3
7.15.x < 7.15.2
7.16.x < 7.16.4
7.17.x < 7.17.4
7.18.0
Crowd Server and Data Center
Versionen < 4.3.8
4.4.x < 4.4.2
5.0.0
Crucible
Versionen < 4.8.10
Fisheye
Versionen < 4.8.10
Jira Server and Data Center
Versionen < 8.13.22
Alle Versionen 8.14.x bis 8.19.x
8.20.x < 8.20.10
Alle Versionen 8.21.x
8.22.x < 8.22.4
Jira Service Management Server and Data Center
Versionen < 4.13.22
Alle Versionen 4.14.x bis 4.19.x
4.20.x < 4.20.10
Alle Versionen 4.21.x
4.22.x < 4.22.4
Questions for Confluence
Versionen 2.7.x und 3.0.x können betroffen sein, prüfen Sie Was soll ich tun?
Fix-Versionen
Note |
---|
bitvoodoo empfiehlt die Verwendung der neusten LTS Versionen von Jira, Confluence und Bitbucket. |
Produkt
Fix-Versionen
Bamboo Server and Data Center
>= 8.0.9
>= 8.1.8
>= 8.2.4
>= 9.0.0
Bitbucket Server and Data Center
Confluence Server and Data Center
Crowd Server and Data Center
>= 4.3.8
>= 4.4.2
>= 5.0.1
Crucible
>= 4.8.10
Fisheye
>= 4.8.10
Jira Server and Data Center
Jira Service Management Server and Data Center
| |
Confluence Data Center |
|
Affected Versions CVE-2023-22523 - RCE Vulnerability in Assets Discovery (stand-alone app)
Product | Affected Versions |
---|---|
Assets Discovery (Jira Service Management Cloud) |
|
Assets Discovery (Jira Service Management Data Center and Server) |
|
Affected versions CVE-2023-22524 - RCE Vulnerability in Atlassian Companion App for MacOS
Product | Affected Versions |
---|---|
Atlassian Companion App for MacOS | All versions (MacOS) up to but not including 2.0.0 are affected by the vulnerability. |
Fixed Versions
Note |
---|
bitvoodoo recommends using the latest LTS releases of Jira, Confluence, and Bitbucket. |
Product | Fixed Versions |
---|---|
Confluence Data Center and Server |
|
Jira Software Data Center and Server |
|
Jira Service Management Data Center and Server |
|
Jira Core Data Center and Server |
|
Bitbucket Data Center and Server |
|
Confluence Cloud Migration App (CCMA) |
|
Automation for Jira (A4J) app (including Server Lite edition) |
|
Assets Discovery (Jira Service Management Cloud) |
|
Assets Discovery (Jira Service Management Data Center and Server) |
|
Atlassian Companion App for MacOS |
|
What should I do? - On-Premise Products
Localtab Group | ||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Was soll ich tun?
Multiple Products Security Advisory - Servlet Filter Dispatcher Vulnerabilities - CVE-2022-26136, CVE-2022-26137
Localtab | ||||||
---|---|---|---|---|---|---|
| ||||||
Sie verwenden die Server- oder Data Center-Variante eines Atlassian-Produkt in einer Version, die unter Betroffene Versionen aufgeführt ist. Update Aktualisieren Sie auf eine Version, die unter Fix-Versionen aufgeführt ist.
WorkaroundDerzeit gibt es keinen Workaround. |
Localtab | ||||
---|---|---|---|---|
| ||||
Sie verwenden Jira, Confluence oder Bitbucket Cloud.
Es besteht kein Handlungsbedarf. |
Localtab | ||||
---|---|---|---|---|
| ||||
Sie verwenden Jira, Confluence oder Bitbucket Server oder Data Center gehostet mit bitvoodoo. UpdateLTS Update Package Kunden erhalten so schnell wie möglich ein kostenloses Update auf die neueste LTS-Version. bitvoodoo Cloud Kunden, die kein LTS Update Paket haben, werden in den kommenden Tagen für die Koordination für ein Update von bitvoodoo kontaktiert. WorkaroundDerzeit gibt es keinen Workaround. |
Questions For Confluence App Security Advisory- Hardcoded Credentials - CVE-2022-26138
Localtab | ||||
---|---|---|---|---|
| ||||
Sie verwenden die App Questions for Confluence in Confluence Server oder Data Center. Bestimmen Sie, ob Sie betroffen sindStellen Sie fest ob ihre Instanz betroffen ist indem sie prüfen ob der Update the AppUpdaten Sie Questions for Confluence:
WorkaroundSuchen Sie den |
Localtab | ||||
---|---|---|---|---|
| ||||
Sie verwenden Confluence Cloud.
Es besteht kein Handlungsbedarf. |
Localtab | ||||
---|---|---|---|---|
| ||||
You use the app Questions for Confluence in Confluence Server or Data Center hosted with bitvoodoo.
Es besteht kein Handlungsbedarf. |
Weitere Informationen
- CVE-2022-26136
- CVE-2022-26137
- CVE-2022-26138
Multiple Products Security Advisory - 2022-07-20
Questions For Confluence App Security Advisory - 2022-07-20
Support
Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch .
Cher client,
Le 20 juillet 2022 à 22 heures CEST, Atlassian a émis deux avis de sécurité pour ses produits logiciels sur site et les questions relatives à l'application Confluence. Les versions Cloud des applications ne sont pas concernées.
Ce qu'il faut savoir
Atlassian a été informé d'une vulnérabilité critique dans ses produits logiciels sur site via un contournement arbitraire du filtre de servlet et une invocation supplémentaire du filtre de servlet. De plus amples détails sur cette vulnérabilité sont disponibles dans l'avis de sécurité de Multiple Products - 2022-07-20. Le seul moyen actuel de sécuriser les applications est de mettre à jour les versions corrigées.
De plus, Atlassian a divulgué une vulnérabilité dans l'application Questions pour Confluence due à un utilisateur système avec des informations d'identification d'utilisateur codées. Plus de détails sur la vulnérabilité sont disponibles dans Questions For Confluence App Security Advisory - 2022-07-20. La mise à jour de Questions for Confluence corrige cette vulnérabilité.
Versions concernées
Produit
Versions concernées
Bamboo Serveur et Data Center
Versions < 8.0.9
8.1.x < 8.1.8
8.2.x < 8.2.4
Bitbucket Serveur et Data Center
Versions < 7.6.16
Toutes les versions 7.7.x jusqu'à 7.16.x
7.17.x < 7.17.8
Toutes les versions 7.18.x
7.19.x < 7.19.5
7.20.x < 7.20.2
7.21.x < 7.21.2
8.0.0
8.1.0
Confluence Serveur et Data Center
Versions < 7.4.17
Toutes les versions 7.5.x Jusqu'à 7.12.x
7.13.x < 7.13.7
7.14.x < 7.14.3
7.15.x < 7.15.2
7.16.x < 7.16.4
7.17.x < 7.17.4
7.18.0
Crowd Serveur et Data Center
Versions < 4.3.8
4.4.x < 4.4.2
5.0.0
Crucible
Versions < 4.8.10
Fisheye
Versions < 4.8.10
Jira Serveur et Data Center
Versions < 8.13.22
Toutes les versions 8.14.x jusqu'à 8.19.x
8.20.x < 8.20.10
Toutes les versions 8.21.x
8.22.x < 8.22.4
Jira Service Management Serveur et Data Center
Versions < 4.13.22
Toutes les versions 4.14.x jusqu'à 4.19.x
4.20.x < 4.20.10
Toutes les versions 4.21.x
4.22.x < 4.22.4
Questions for Confluence
Versions 2.7.x et 3.0.x peuvent être concernées
Versions sécurisées
Note |
---|
bitvoodoo recommande d'utiliser les dernières versions LTS de Jira, Confluence et Bitbucket |
Product
Fixed Versions
Bamboo Serveur et Data Center
>= 8.0.9
>= 8.1.8
>= 8.2.4
>= 9.0.0
Bitbucket Serveur et Data Center
Confluence Serveur et Data Center
Crowd Serveur et Data Center
>= 4.3.8
>= 4.4.2
>= 5.0.1
Crucible
>= 4.8.10
Fisheye
>= 4.8.10
Jira Serveur et Data Center
Jira Service Management Serveur et Data Center
Que dois-je faire? - Produits On-Premise
Localtab | ||||||
---|---|---|---|---|---|---|
| ||||||
Vous utilisez la variante Server ou Data Center d'une application Atlassian dans une version répertoriée dans Versions affectées. Mise à jourEffectuez une mise à jour vers une version répertoriée dans Versions fixes.
Mesure de contournementIl n'existe actuellement aucune solution de contournement. |
Localtab | ||||
---|---|---|---|---|
| ||||
Vous utilisez Jira, Confluence ou Bitbucket Cloud.
Aucune action nécessaire |
Localtab | ||||
---|---|---|---|---|
| ||||
Vous utilisez Jira, Confluence ou Bitbucket Server ou Data Center hébergé chez bitvoodoo. Mise à jourLes clients ayant opté pour le paquet de mise à jour LTS vont recevoir une mise à jour gratuite dès que possible. Les client hébergés dans le cloud bitvoodoo sans les mises à jour LTS seront contactés par bitvoodoo dans les jours à venir afin de coordonner une mise à jour. Mesure de contournementIl n'existe actuellement aucune solution de contournement. |
Que dois-je faire - Questions For Confluence
Localtab Group | |||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Further Reading
- CVE-2022-26136
- CVE-2022-26137
- CVE-2022-26138
Multiple Products Security Advisory - 2022-07-20
Questions For Confluence App Security Advisory - 2022-07-20
Support
|
Support
If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via Si vous avez des questions concernant cette faille de sécurité, veuillez contact le support de bitvoodoo par e-mail support.bitvoodoo.ch.