Zpět

Bezpečnostní záplata ovlivňující Atlassian produkty CVE 2021 44228

15. 12. 2021

Společnost Atlassian vydala upozornění na bezpečnostní záplatu - zranitelnost se týká některých Atlassian produktů a souvisí s knihovnami Java sloužícími pro logování (ověřování). Umožňuje spustit škodlivý kód uživatelem který kontroluje LDAP nebo jinou ověřovací metodu, použitou na serveru. Chyba již může být zneužita. Doporučujeme tedy co nejrychleji konzultovat situaci se správci serveru, kde běží Atlassian produkty.

 

Závažnost

Zranitelnost je klasifikována stupněm Low (nízká).

 

Dopad na produkty

Ovlivněné jsou všechny verze produktů, protože zranitelnost se vyskytuje v oveření, které se používá v Atlassian produktech. Konkrétně se jedná o Java logging library log4j (version 2).

 

Jedná se o následující produkty:

  • Bamboo Server a Data Center (včetně Bamboo agents)
  • Confluence Server a Data Center
  • Crowd Server a Data Center
  • Fisheye / Crucible
  • Jira Service Management Server a Data Center
  • Jira Software Server a Data Center (včetně Jira Core)
  •  

Pro využití zranitelnosti musí zároveň platit:

  • JMS Appender je nastaven v konfiguraci Log4j
  • API javax.jms je součástí CLASSPATH
  • JMS Appender byl nakonfigurován s připojením na vnější (3rd party) zdroj pomocí JNDI lookup

 

Dále produkt Bitbucket Server & Data Center je přímo ohrožen, protože používá Elasticsearch. Následující verze jsou dotčeny a doporučuje se update na novější verzi (za znaménkem “<“)

  • Všechny verze 6.x < 6.10.16
  • 7.x < 7.6.12
  • Verze od 7.7.0 < 7.14.2
  • 7.15.x < 7.15.3
  • 7.16.x < 7.16.3
  • 7.17.x < 7.17.4
  • 7.18.x < 7.18.3

 

Verze pro Cloud jsou nejsou dotčeny.

 

Mitigace

Dočasným řešením může být úprava konfigurace Log4j a odstranit (zakomentovat) řádky odkazující na org.apache.log4j.JMSAppender. Mitigace by nicméně měla být učiněna ve zdrojovém systému.

Pro produkty Bitbucket Server & Data Center se doporučuje přechod na záplatovanou verzi (viz níže) nebo aplikace patche:

  • 6.10.16
  • 7.6.12
  • 7.14.2
  • 7.15.3
  • 7.16.3
  • 7.17.4
  • 7.18.3
  • 7.19.1

 

Zdroj

Více informací lze nalézt na této stránce (pouze anglicky).

 

Chcete poradit nebo pomoci s upgradem Atlassian aplikací? Neváhejte se na nás obrátit a kontaktujte nás na atlassian@onlioaps.com.