Sicherheitsupdates für Atlassian Bamboo, Bitbucket, Confluence und Jira

by | Mar 21, 2024 | Heise Alerts, ISMS | 0 comments

Atlassian behandelt 25 Sicherheitslücken in Bamboo, Bitbucket, Confluence und Jira. Eine davon gilt als kritisch.

Atlassian hat eine Sammelmeldung zu Sicherheitslücken für den März zusammengestellt und veranstaltet somit einen Patchday. 25 Schwachstellen meldet der Hersteller, eine davon kritisch, die weiteren 24 stellen den Entwicklern zufolge ein hohes Risiko dar.

In dem Security-Bulletin für den März von Atlassian führen die Programmierer auf, welche Sicherheitslücken im Einzelnen in welchem Produkt stecken. Und natürlich, welche Softwareversion die Sicherheitslücken schließt. Demnach wurden die Updates bereits im Laufe des letzten Monats veröffentlicht. Die Sicherheitslücken erlauben Angreifern unter anderem das Einschleusen und Ausführen von Schadcode aus dem Netz, SQL-Injection-Attacken, Denial-of-Service-Angriffe und weitere Cyberattacken.

Betroffene Software und Updates

Atlassian listet folgende Versionen als fehlerbereinigt auf. Es sind teils auch ältere Entwicklungszweige betroffen, die auf die neuen Stände hochgezogen werden müssen, da der Support für die alten Fassungen bereits ausgelaufen ist.

  • Bamboo Data Center und Server 9.2.12 (LTS), 9.4.4, 9.6.0 (LTS) oder 9.5.2
  • Bitbucket Data Center und Server 7.21.22/.23, 8.9.10/.11 (LTS), 8.13.6, 8.14.5/.6, 8.15.4/.5, 8.16.3/.4, 8.17.2, 8.18.1 sowie 8.19.9 (LTS)
  • Confluence Data Center und Server 7.19.20 (LTS), 8.5.7 (LTS), 8.8.1
  • Jira Software Data Center und Server 9.3.18 (LTS), 9.12.3 – .5 (LTS), 9.13.0/.1, 9.14.0/.1

Atlassian erläutert weiter, dass insbesondere kritische Lücken außerhalb der monatlichen Security-Bulletins behandelt werden und daher die Übersicht den Anschein erwecke, lediglich Sicherheitslücken mit geringeren Auswirkungen aufzulisten. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig herunterladen und installieren, da Atlassian-Produkte stark im Fokus von Cyberkriminellen sind.

Mit der Januar-Sicherheitssammelmeldung von Atlassian gingen Aktualisierungen zum Abdichten von insgesamt 28 Sicherheitslecks einher. Sie wurden allesamt als hohes Risiko eingestuft.