Contents


Inhalte


Contenu





Date

 

Product
  • Bitbucket Data Center
  • Confluence Data Center
VulnerabilityCritical
CVE

CVE-2016-10750

Official linkMultiple Products Security Advisory - Hazelcast Vulnerable To Remote Code Execution - CVE-2016-10750




Multiple Products Security Advisory - Hazelcast Vulnerable To Remote Code Execution - CVE-2016-10750

Dear customer,

on the 24th March 2022 23:00 UTC, Atlassian issued a Security Advisory for Confluence and Bitbucket Data Center. The Server and Cloud versions of the aplications as well as other Atlassian products are not affected.

What you need to know

A vulnerability in the software Hazelcast has been discovered in conjunction with the named Atlassian products. Hazelcast is used by Confluence and Bitbucket Data Center when configured to operate as a cluster. A remote, unauthenticated attacker can exploit this vulnerability.

Affected Versions

  • Confluence Server and Cloud are not affected.

  • Confluence Data Center instances that are not installed as a cluster are not affected.

  • Bitbucket Server and Cloud are not affected.


Confluence Data Center

To verify whether a cluster installation is being used, check the confluence.cfg.xml file in the Confluence home directory. If the following line is present, it has been installed as a cluster:

<property name="confluence.cluster">true</property>

If the line is not present or if the value is set to false instead of true, it has not been installed as a cluster.

The following versions of Confluence Data Center are affected when clustering is enabled:

  • All versions 5.6.x and later

Bitbucket Data Center

Both single and multi-node installations of Bitbucket Data Center are affected. Enabling or disabling clustering does not affect whether or not the application is vulnerable.

The following versions of Bitbucket Data Center are affected:

  • All 5.x versions before 5.14.x

  • All 6.x versions

  • All 7.x versions lower than 7.6.14

  • All versions 7.7.x through 7.16.x

  • 7.17.x lower than 7.17.6

  • 7.18.x lower than 7.18.4

  • 7.19.x lower than 7.19.4

  • 7.20.0

What should I do?

Fix Confluence Data Center


You installed Confluence Data Center clustered

Atlassian plans to address this security vulnerability in future releases, for now we recommend to apply the workaround.


Update

There is no Confluence release addressing this security vulnerability yet. 

bitvoodoo will update this page with any news. To get notified as soon a Confluence Data Center version with fix get released, watch this issue:


Workaround

Restrict access to the Hazelcast port by using a firewall or other network access controls. The port only needs to be accessible by other nodes in the Bitbucket or Confluence cluster.

For Confluence Data Center, Hazelcast uses both TCP ports 5701 and 5801 by default.


You installed Confluence Data Center with clustering not enabled on a single node

Single node installation of Confluence Data Center are not affected by this security vulnerability as Hazlecast is not utilized.

No need for action.



Confluence Data Center is hosted with bitvoodoo

We have checked our installations according to the information in the Security Advisory and applied measures on network level. Your Confluence Data Center is secured.

No need for action.



Fix Bitbucket Data Center


You run Bitbucket Data Center clustered on multiple nodes

Install a fixed version or apply the workaround as suggested by Atlassian.


Update

The following versions of Bitbucket Data Center fix this vulnerability:

  • 7.6.14

  • 7.17.6

  • 7.18.4

  • 7.19.4

  • 7.20.1

  • 7.21.0


Workaround

Restrict access to the Hazelcast port by using a firewall or other network access controls. The port only needs to be accessible by other nodes in the Bitbucket or Confluence cluster.

For Bitbucket Data Center, Hazelcast uses TCP port 5701 by default


You run Bitbucket Data Center on a single node

Bitbucket Data Center is also affected when only one node is running. Install a fixed version or apply the workaround as suggested by Atlassian.


Update

The following versions of Bitbucket Data Center fix this vulnerability:

  • 7.6.14

  • 7.17.6

  • 7.18.4

  • 7.19.4

  • 7.20.1

  • 7.21.0


Workaround

Restrict access to the Hazelcast port by using a firewall or other network access controls. The port only needs to be accessible by other nodes in the Bitbucket or Confluence cluster.

For Bitbucket Data Center, Hazelcast uses TCP port 5701 by default


Bitbucket Data Center is hosted with bitvoodoo

We have checked our installations according to the information in the Security Advisory and applied measures on network level needed. Your Bitbucket Data Center is secured.

No need for action.



Further Reading

Support

If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.


Sehr geehrte Kunden,

am 24. März 2022 23:00 UTC hat Atlassian ein Security Advisory für Confluence und Bitbucket Data Center veröffentlicht. Die Server- und Cloud-Versionen der Anwendungen sowie andere Atlassian-Produkte sind nicht betroffen.

Was Sie wissen müssen

Eine Sicherheitslücke der Software Hazelcast wurde im Zusammengang mit den genannten Atlassian Produkte entdeckt. Hazelcast wird von Confluence und Bitbucket Data Center verwendet, wenn sie für den Betrieb als Cluster konfiguriert sind. Ein entfernter, nicht authentifizierter Angreifer kann diese Sicherheitslücke ausnutzen.

Betroffene Versionen

  • Confluence Server und Cloud sind nicht betroffen.
  • Confluence Data Center Instanzen, die nicht als Cluster installiert sind, sind nicht betroffen.
  • Bitbucket Server und Cloud sind nicht betroffen.


Confluence Data Center

Um zu überprüfen, ob eine Cluster-Installation verwendet wird, prüfen Sie die Datei confluence.cfg.xml im Confluence home directory. Wenn die folgende Zeile vorhanden ist, wurde Confluence als Cluster installiert:

<property name="confluence.cluster">true</property>

Wenn die Zeile nicht vorhanden ist oder der Wert auf "false" statt auf "true" gesetzt ist, wurde das System nicht als Cluster installiert.

Die folgenden Versionen von Confluence Data Center sind betroffen, wenn Clustering aktiviert ist:

  • Alle Versionen 5.6.x und neuer


Bitbucket Data Center

Sowohl Single- als auch Muti-Node-Installationen von Bitbucket Data Center sind betroffen. Das Aktivieren oder Deaktivieren von Clustering hat keinen Einfluss darauf, ob die Anwendung betroffen ist oder nicht.

Die folgenden Versionen von Bitbucket Data Center sind betroffen:

  • Alle 5.x Versionen vor 5.14.x

  • Alle 6.x Versionen

  • Alle 7.x Versionen niedriger als 7.6.14

  • Alle Versionen 7.7.x bis 7.16.x

  • Alle Versionen 7.17.x niedriger als  7.17.6

  • Alle Versionen 7.18.x niedriger als  7.18.4

  • Alle Versionen 7.19.x niedriger als 7.19.4

  • Version 7.20.0

Was soll ich unternehmen?

Lösung Confluence Data Center


Sie haben Confluence Data Center in einem Cluster auf mehreren Nodes installiert

Atlassian plant, diese Sicherheitslücke in zukünftigen Versionen zu beheben. Für den Moment empfehlen wir, den Workaround anzuwenden.


Update

Es gibt noch keine Confluence-Version, die diese Sicherheitslücke behebt. 

bitvoodoo wird diese Seite mit allen Neuigkeiten aktualisieren. Um benachrichtigt zu werden, sobald eine Confluence Data Center Version mit Fix veröffentlicht wird, beobachten Sie dieses Issue:


Workaround

Schränken Sie den Zugriff auf den Hazelcast-Port durch eine Firewall oder andere Netzwerkzugangskontrollen ein. Der Port muss nur von anderen Knoten im Bitbucket- oder Confluence-Cluster zugänglich sein.

For Confluence Data Center, Hazelcast uses both TCP ports 5701 and 5801 by default.



Sie haben Confluence Data Center ohne aktiviertes Clustering auf einem einzelnen Node installiert

Single-Node-Installationen von Confluence Data Center sind von dieser Sicherheitslücke nicht betroffen, da Hazlecast nicht verwendet wird.

Es besteht kein Handlungsbedarf.



Ihr Confluence Data Center wird durch bitvoodoo gehostet

Wir haben unsere Installationen gemäss den Informationen im Security Advisory überprüft und Massnahmen auf Netzwerkebene getroffen. Ihr Confluence Data Center ist gesichert.

Es besteht kein Handlungsbedarf.




Lösung Bitbucket Data Center


Sie haben Bitbucket Data Center in einem Cluster auf mehreren Nodes installiert

Installieren Sie eine Version mit Fix oder wenden Sie den von Atlassian vorgeschlagenen Workaround an.


Update

Die folgenden Versionen von Bitbucket Data Center beheben diese Sicherheitslücke:

  • Version 7.6.14

  • Version 7.17.6

  • Version 7.18.4

  • Version 7.19.4

  • Version 7.20.1

  • Version 7.21.0


Workaround

Schränken Sie den Zugriff auf den Hazelcast-Port durch eine Firewall oder andere Netzwerkzugangskontrollen ein. Der Port muss nur von anderen Nodes im Bitbucket- oder Confluence-Cluster zugänglich sein.

For Bitbucket Data Center, Hazelcast uses TCP port 5701 by default



Sie haben Bitbucket Data Center nur auf einem Node installiert

Bitbucket Data Center ist auch betroffen, wenn nur ein Node betrieben wird. Installieren Sie eine Version mit Fix oder wenden Sie den von Atlassian vorgeschlagenen Workaround an.


Update

Die folgenden Versionen von Bitbucket Data Center beheben diese Sicherheitslücke:

  • Version 7.6.14

  • Version 7.17.6

  • Version 7.18.4

  • Version 7.19.4

  • Version 7.20.1

  • Version 7.21.0


Workaround

Schränken Sie den Zugriff auf den Hazelcast-Port durch eine Firewall oder andere Netzwerkzugangskontrollen ein. Der Port muss nur von anderen Nodes im Bitbucket- oder Confluence-Cluster zugänglich sein.

For Bitbucket Data Center, Hazelcast uses TCP port 5701 by default



Ihr Bitbucket Data Center wird durch bitvoodoo gehostet

Wir haben unsere Installationen gemäss den Informationen im Security Advisory überprüft und Massnahmen auf Netzwerkebene getroffen. Ihr Bitbucket Data Center ist gesichert.

Es besteht kein Handlungsbedarf.



Weitere Informationen zum Thema

Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch.


Cher client, le 24 Mars 2022 23:00 UTC Atlassian publie un avis de sécurité pour Confluence et Bitbucket Data Center. Les versions Server et Cloud des applications ainsi que les autres produits Atlassian ne sont pas concernés.

Ce que vous devez savoir

Une vulnérabilité dans le logiciel Hazelcast a été découverte en conjonction avec les produits Atlassian cités. Hazelcast est utilisé par Confluence et Bitbucket Data Center lorsqu'ils sont configurés pour fonctionner en cluster. Un attaquant distant et non authentifié peut exploiter cette vulnérabilité.

Versions affectées

  • Confluence Server et Cloud ne sont pas affectés
  • Les instances de Confluence Data Center qui ne sont pas installées en tant que cluster ne sont pas affectées.
  • Le serveur et le cloud Bitbucket ne sont pas affectés.


Confluence Data Center

Pour vérifier si une installation en cluster est utilisée, vérifiez le fichier confluence.cfg.xml dans le répertoire d'origine de Confluence. Si la ligne suivante est présente, l'installation a été faite en tant que cluster :

<property name="confluence.cluster">true</property>

Si la ligne n'est pas présente ou si la valeur est définie sur false au lieu de true, cela signifie qu'il n'a pas été installé en tant que cluster.

Les versions suivantes de Confluence Data Center sont concernées lorsque la mise en cluster est activée :

  • Toutes les versions 5.6.x et plus récentes

Bitbucket Data Center

Les installations à un ou plusieurs nœuds de Bitbucket Data Center sont affectées. L'activation ou la désactivation de la mise en grappe n'a pas d'incidence sur la vulnérabilité ou non de l'application.

Les versions suivantes de Bitbucket Data Center sont concernées :

  • Toutes les versions 5.x avant 5.14.x

  • Toutes les versions 6.x

  • Toutes les versions 7.X avant 7.6.14

  • Toutes les versions entre 7.7.x et 7.16.x

  • 7.17.x avant 7.17.6

  • 7.18.x avant 7.18.4

  • 7.19.x avant 7.19.4

  • 7.20.0


Que dois-je faire ?

Réparer Confluence Data Center


Vous avez installé Confluence Data Center en cluster

Atlassian prévoit de corriger cette faille de sécurité dans les prochaines versions. Pour l'instant, nous recommandons d'appliquer la solution de contournement suivante


Mise à jour

Il n'y a pas encore de version de Confluence qui corrige cette vulnérabilité. 

bitvoodoo mettra cette page à jour avec toute nouvelle. Pour être informé dès qu'une version de Confluence Data Center avec un correctif sera publiée, surveillez ce numéro :


Solution de contournement

Limitez l'accès au port Hazelcast en utilisant un pare-feu ou d'autres contrôles d'accès au réseau. Le port ne doit être accessible que par les autres nœuds du cluster Bitbucket ou Confluence.

Pour Confluence Data Center, Hazelcast uses both TCP ports 5701 and 5801 par défaut.



Vous avez installé Confluence Data Center avec clustering désactivé sur un seul noeud

L'installation d'un nœud unique de Confluence Data Center n'est pas affectée par cette vulnérabilité de sécurité car Hazlecast n'est pas utilisé.

Pas d'action nécessaire



Confluence Data Cente est hébergé par bitvoodoo

Nous avons vérifié nos installations selon les informations du Security Advisory et appliqué des mesures au niveau du réseau. Votre Confluence est sécurisé.

Pas d'action nécessaire




Réparer Bitbucket Data Center


Bitbucket Data Center en mode cluster sur en noeud multiples

Installez une version corrigée ou appliquez la solution de contournement suggérée par Atlassian.


MIse à jour

Les version de Bitbucket Data Center corrigeant cette vulnérabilité sont les suivantes

  • 7.6.14

  • 7.17.6

  • 7.18.4

  • 7.19.4

  • 7.20.1

  • 7.21.0


Solution de contournement

Limitez l'accès au port Hazelcast en utilisant un pare-feu ou d'autres contrôles d'accès au réseau. Le port ne doit être accessible que par les autres nœuds du cluster Bitbucket ou Confluence.

Pour Bitbucket Data Center, Hazelcast utilise TCP port 5701 par défaut



Bitbucket Data Center sur un noeud unique

Installez une version corrigée ou appliquez la solution de contournement suggérée par Atlassian.


MIse à jour

Les version de Bitbucket Data Center corrigeant cette vulnérabilité sont les suivantes

  • 7.6.14

  • 7.17.6

  • 7.18.4

  • 7.19.4

  • 7.20.1

  • 7.21.0


Solution de contournement

Limitez l'accès au port Hazelcast en utilisant un pare-feu ou d'autres contrôles d'accès au réseau. Le port ne doit être accessible que par les autres nœuds du cluster Bitbucket ou Confluence.

Pour Bitbucket Data Center, Hazelcast utilise TCP port 5701 par défaut



Bitbucket Data Centerest hébergé par bitvoodoo

Nous avons vérifié nos installations conformément aux informations contenues dans l'avis de sécurité et appliqué les mesures nécessaires au niveau du réseau. Votre Bitbucket est sécurisé.

Pas d'action nécessaire




Documentation supplémentaire

Support

Si vous avez encore des questions ou des préoccupations concernant cet avis, veuillez contacter le support bitvoodoo via support.bitvoodoo.ch.