Contents


Inhalte





Date

 

Product
  • Bitbucket Data Center and Server
VulnerabilityCritical
CVECVE-2021-44228, CVE-2021-45046, CVE-2021-45105
Official linkMultiple Products Security Advisory - Log4j Vulnerable To Remote Code Execution - CVE-2021-44228



Looking for information about bitvoodoo apps? Look here.




Dear customer,

On Thursday 16th December, Atlassian updated their Security Advisory on CVE-2021-44228 aka. Log4Shell. See Multiple Products Security Advisory - Log4j Vulnerable To Remote Code Execution - CVE-2021-44228.

According to new findings, some versions of Bitbucket Data Center and Server are affected by Log4Shell due to unused log4j-core present in some Bitbucket versions and the bundled Easticsearch.

What you need to know

A security vulnerability was discovered in Apache Log4j 2. Log4j is a popular logging package for Java.

This is a security issue affecting a broad range of software based upon Java. Atlassian products such as Bitbucket, Jira and Confluence run on Java and also utilize Log4j.

Affected versions and fixed versions

Bitbucket Data Center and Server


Affected versions

  • All versions < 6.10.16

  • 7.x < 7.6.12

  • Versions >= 7.7.0 and < 7.14.2

  • 7.15.x < 7.15.3

  • 7.16.x < 7.16.3

  • 7.17.x < 7.17.4

  • 7.18.x < 7.18.3

  • 7.19

Fixed versions

  • 6.10.16

  • 7.6.12

  • 7.14.2

  • 7.15.3

  • 7.16.3

  • 7.17.4

  • 7.18.3

  • 7.19.1 or newer



What should I do?


You host your application yourself

Fix

Atlassian is unable to release an updated version of the bundled Elasticsearch version due to licensing changes for Elasticsearch versions later than 7.10. The mitigation is contained in the updates instead.

Atlassian recommends that you upgrade to the latest version. For a full description of the latest versions, see the release notes for your application:

You can download the latest version of your application from the download center:


Mitigation

If you are unable to install an updated version of Bitbucket and are running the bundled Elasticsearch, make the following change as per Elastic security advisory ESA-2021-31:

The simplest remediation is to set the JVM option -Dlog4j2.formatMsgNoLookups=true and restart each node of the cluster.
For Elasticsearch 5.6.11+, 6.4+, and 7.0+, this provides full protection against the RCE and information leak attacks.

Restart Bitbucket Server after adding the following line to the bottom of the file $BITBUCKET_HOME/shared/search/jvm.options

-Dlog4j2.formatMsgNoLookups=true


Please contact our support if you need assistance.


Your application is hosted with bitvoodoo

bitvoodoo secured your Bitbucket by implementation of the mitigation on and has not identified compromised systems. Bitbucket hosted with bitvoodoo are not affected.



You use Bitbucket Cloud

Atlassian secured their cloud products and has not identified compromised systems. The on-demad applications and are not affected.



Further Reading

Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.


Betroffene Versionen und behobene Versionen nach Produkt

Sehr geehrte Kunden,

Atlassian aktualisiert am Donnerstag, den 16. Dezember, das Security Advisory zu CVE-2021-44228 aka. Log4Shell. Siehe Multiple Products Security Advisory - Log4j Vulnerable To Remote Code Execution - CVE-2021-44228

Nach neuen Erkentnissen sind einige Versionen von Bitbucket Data Center und Server von Log4Shell betroffen.

Was Sie wissen müssen

In Apache Log4j 2 wurde eine Sicherheitslücke entdeckt. Log4j ist ein beliebtes Protokollierungspaket für Java.

Es handelt sich um ein Sicherheitsproblem, das eine breite Palette von Software betrifft, die auf Java basiert. Atlassian-Produkte wie Bitbucket, Jira und Confluence laufen auf Java und nutzen ebenfalls Log4j.

Betroffene Versionen und behobene Versionen

Bitbucket Data Center und Server


Affected versions

  • All versions < 6.10.16

  • 7.x < 7.6.12

  • Versions >= 7.7.0 and < 7.14.2

  • 7.15.x < 7.15.3

  • 7.16.x < 7.16.3

  • 7.17.x < 7.17.4

  • 7.18.x < 7.18.3

  • 7.19

Fixed versions

  • 6.10.16

  • 7.6.12

  • 7.14.2

  • 7.15.3

  • 7.16.3

  • 7.17.4

  • 7.18.3

  • 7.19.1 or newer


Was soll ich unternehmen?


Sie hosten Ihre Anwendung selbst

Fix

Atlassian ist nicht in der Lage, eine aktualisierte Version der gebündelten Elasticsearch-Version zu veröffentlichen, da sich die Lizenzierung für Elasticsearch-Versionen ab 7.10 geändert hat. Die Mitigations ist stattdessen in den Updates enthalten.

Atlassian empfiehlt, auf die neueste Version zu aktualisieren. Eine vollständige Beschreibung der neuesten Versionen finden Sie in den Versionshinweisen für Ihre Anwendung:

Sie können die neueste Version Ihrer Anwendung aus dem Download-Center herunterladen:


Mitigation

Wenn Sie keine aktualisierte Version von Bitbucket installieren können und das gebündelte Elasticsearch verwenden, nehmen Sie die folgende Änderung vor Elastic security advisory ESA-2021-31:

The simplest remediation is to set the JVM option -Dlog4j2.formatMsgNoLookups=true and restart each node of the cluster.
For Elasticsearch 5.6.11+, 6.4+, and 7.0+, this provides full protection against the RCE and information leak attacks.

Starten Sie Bitbucket Server neu, nachdem Sie die folgende Zeile am Ende der Datei $BITBUCKET_HOME/shared/search/jvm.options hinzugefügt haben

-Dlog4j2.formatMsgNoLookups=true


Bitte kontaktieren Sie unseren Support, wenn Sie Hilfe benötigen.


Sie hosten Ihre Anwendung durch bitvoodoo

bitvoodoo hat am ihr Bitbucket abgesichert und konnte keine kompromittierten Systeme feststellen. Bitbucket Installationen auf bitvoodoo Hostings sind nicht betroffen.



Sie verwenden Bitbucket Cloud

Atlassian hat die Cloud Produkte abgesichert und konnte keine kompromittierten Systeme feststellen. Die On-Demad-Anwendungen sind nicht betroffen.




Weitere Informationen zum Thema

Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch.