Jira Security Bulletin Juli 2024: Sicherheitsupdates für Bamboo und Confluence
Table of Contents
Das Jira Juli 2024 Sicherheitsbulletin umfasst 11 hochgradig kritische Sicherheitslücken, die in den letzten veröffentlichten Fix-Versionen behoben wurden. Diese Schwachstellen wurden durch unser Bug-Bounty-Programm, Penetrationstests und Scans von Drittanbieterbibliotheken entdeckt.
Um alle Sicherheitslücken in Ihren Produkten zu beheben, empfiehlt Atlassian, Ihre Instanzen auf die neueste Version oder eine der angegebenen Fix-Versionen zu aktualisieren. Die aufgelisteten Fix-Versionen für jedes Produkt sind aktuell zum 16. Juli 2024 (Veröffentlichungsdatum). Für die neuesten Versionen besuchen Sie bitte die verlinkten Produktveröffentlichungshinweise.
Veröffentlichte Sicherheitslücken:
Bamboo Data Center und Server:
- Betroffene Versionen: 9.6.0 bis 9.6.3 (LTS), 9.5.0 bis 9.5.4, 9.4.0 bis 9.4.4, 9.3.0 bis 9.3.6, 9.2.1 bis 9.2.15 (LTS), 9.1.0 bis 9.1.3, 9.0.0 bis 9.0.4
- Fix-Versionen: 9.6.4 (LTS) empfohlen nur für Data Center, 9.2.16 (LTS)
- Sicherheitslücken:
- File Inclusion: CVE-2024-21687, CVSS 8.1 Hoch
- SSRF in org.springframework:spring-web Dependency: CVE-2024-22262, CVSS 8.1 Hoch
Confluence Data Center und Server:
- Betroffene Versionen: 8.9.0 bis 8.9.3, 8.8.0 bis 8.8.1, 8.7.1 bis 8.7.2, 8.6.0 bis 8.6.2, 8.5.0 bis 8.5.11 (LTS), 8.4.0 bis 8.4.5, 8.3.0 bis 8.3.4, 8.2.0 bis 8.2.3, 8.1.0 bis 8.1.4, 8.0.0 bis 8.0.4, 7.20.0 bis 7.20.3, 7.19.0 bis 7.19.24 (LTS)
- Fix-Versionen: 8.9.4 nur für Data Center, 8.5.12 (LTS) empfohlen, 7.19.25 (LTS)
- Sicherheitslücken:
- DoS in org.apache.commons:commons-compress Dependency: CVE-2021-36090, CVE-2021-35517, CVE-2021-35516, CVE-2021-35515, CVE-2019-12402, CVSS 7.5 Hoch
- Third-Party Dependency: CVE-2024-21688, CVSS 7.4 Hoch
- Stored XSS: CVE-2024-21686, CVSS 7.3 Hoch
Jira Data Center und Server:
- Betroffene Versionen: 9.7.0 bis 9.7.2, 9.6.0, 9.5.0 bis 9.5.1, 9.4.0 bis 9.4.17 (LTS), 9.3.0 bis 9.3.3, 9.2.0 bis 9.2.1, 9.1.0 bis 9.1.1
- Fix-Versionen: 9.8.0 oder höher, 9.12.0 bis 9.12.11 (LTS) empfohlen, 9.4.18 bis 9.4.24 (LTS)
- Sicherheitslücken:
- DoS in com.thoughtworks.xstream:xstream Dependency: CVE-2022-41966, CVSS 7.5 Hoch