Jira Security Bulletin Juli 2024: Sicherheitsupdates für Bamboo und Confluence

Table of Contents

Das Jira Juli 2024 Sicherheitsbulletin umfasst 11 hochgradig kritische Sicherheitslücken, die in den letzten veröffentlichten Fix-Versionen behoben wurden. Diese Schwachstellen wurden durch unser Bug-Bounty-Programm, Penetrationstests und Scans von Drittanbieterbibliotheken entdeckt.

Um alle Sicherheitslücken in Ihren Produkten zu beheben, empfiehlt Atlassian, Ihre Instanzen auf die neueste Version oder eine der angegebenen Fix-Versionen zu aktualisieren. Die aufgelisteten Fix-Versionen für jedes Produkt sind aktuell zum 16. Juli 2024 (Veröffentlichungsdatum). Für die neuesten Versionen besuchen Sie bitte die verlinkten Produktveröffentlichungshinweise.

Veröffentlichte Sicherheitslücken:

Bamboo Data Center und Server:

  • Betroffene Versionen: 9.6.0 bis 9.6.3 (LTS), 9.5.0 bis 9.5.4, 9.4.0 bis 9.4.4, 9.3.0 bis 9.3.6, 9.2.1 bis 9.2.15 (LTS), 9.1.0 bis 9.1.3, 9.0.0 bis 9.0.4
  • Fix-Versionen: 9.6.4 (LTS) empfohlen nur für Data Center, 9.2.16 (LTS)
  • Sicherheitslücken:
  • File Inclusion: CVE-2024-21687, CVSS 8.1 Hoch
  • SSRF in org.springframework:spring-web Dependency: CVE-2024-22262, CVSS 8.1 Hoch

Confluence Data Center und Server:

  • Betroffene Versionen: 8.9.0 bis 8.9.3, 8.8.0 bis 8.8.1, 8.7.1 bis 8.7.2, 8.6.0 bis 8.6.2, 8.5.0 bis 8.5.11 (LTS), 8.4.0 bis 8.4.5, 8.3.0 bis 8.3.4, 8.2.0 bis 8.2.3, 8.1.0 bis 8.1.4, 8.0.0 bis 8.0.4, 7.20.0 bis 7.20.3, 7.19.0 bis 7.19.24 (LTS)
  • Fix-Versionen: 8.9.4 nur für Data Center, 8.5.12 (LTS) empfohlen, 7.19.25 (LTS)
  • Sicherheitslücken:
  • DoS in org.apache.commons:commons-compress Dependency: CVE-2021-36090, CVE-2021-35517, CVE-2021-35516, CVE-2021-35515, CVE-2019-12402, CVSS 7.5 Hoch
  • Third-Party Dependency: CVE-2024-21688, CVSS 7.4 Hoch
  • Stored XSS: CVE-2024-21686, CVSS 7.3 Hoch

Jira Data Center und Server:

  • Betroffene Versionen: 9.7.0 bis 9.7.2, 9.6.0, 9.5.0 bis 9.5.1, 9.4.0 bis 9.4.17 (LTS), 9.3.0 bis 9.3.3, 9.2.0 bis 9.2.1, 9.1.0 bis 9.1.1
  • Fix-Versionen: 9.8.0 oder höher, 9.12.0 bis 9.12.11 (LTS) empfohlen, 9.4.18 bis 9.4.24 (LTS)
  • Sicherheitslücken:
  • DoS in com.thoughtworks.xstream:xstream Dependency: CVE-2022-41966, CVSS 7.5 Hoch

Related Posts

AT&T zahlt 370.000 US-Dollar an Hacker nach gigantischem Datenleck

Am 14. Juli 2024 wurde nach Aussage der Zeitschrift Wired bekannt, dass der US-Telekommunikationsriese AT&T einem Hacker 370.000 US-Dollar zahlte, um gestohlene Anruf- und Textdaten von Millionen Kunden zu löschen. Diese Zahlung erfolgte im Mai, nachdem ein Mitglied der berüchtigten Hackergruppe ShinyHunters die Daten erbeutet hatte. Die verhandelten Daten betrafen ca. 70 Mio aktive und bereits inaktive Nutzeraccounts und umfassten nahezu alle Sprach und Textnachrichten seiner Mobilfunkkunden.

Read More

PDF.js Sicherheitslücke Fabasoft eGov-Suite und Fabasoft Mindbreeze Enterprise

Am 10. Juni 2024 wurde eine kritische Sicherheitslücke in der Drittanbieter-Bibliothek PDF.js entdeckt, die eine beliebige JavaScript-Ausführung ermöglicht. Die Lücke betrifft die Fabasoft eGov-Suite bis einschließlich 2024 Update Rollup 1 und Fabasoft Mindbreeze Enterprise bis einschließlich Version 24.3.0.268. Die Schwachstelle wurde als CVE-2024-4367 identifiziert und hat einen CVSS-Score von 8.5 (hoch).

Read More

Kritische Sicherheitslücken in Pepperl+Fuchs Sensor Systemen

Am 10. Juli 2024 wurde eine kritische Sicherheitslücke (VDE-2024-038) in mehreren Produkten von Pepperl+Fuchs veröffentlicht. Die betroffenen Geräte der OIT Serie werden zur optischen Identifikation in Hochtemperatur Umgebungen eingesetzt und weisen Schwachstellen auf, die durch anonymen FTP-Server- und Telnet-Zugang verursacht werden.

Read More