Atlassian hat Warnungen vor Sicherheitslücken in mehreren Produkten herausgegeben. Betroffen sind Atlassian Bitbucket Data Center und Server, Confluence Data Center und Server sowie Jira Service Management Data Center und Server. Aktualisierte Software steht bereit, die die Sicherheitslücken schließt. Im Atlassian Bitbucket Data Center und Server klafft eine Lücke, die authentifizierten Angreifern das Ausführen beliebigen Codes ermöglicht. Das habe starke Auswirkungen auf die Vertraulichkeit, Integrität, Verfügbarkeit. Nutzerinteraktion sei dazu nicht nötig (CVE-2023-22513, CVSS 8.5, Risiko „hoch“). Der Fehler habe sich mit dem Release 8.0.0 von Bitbucket Data Center und Server eingeschlichen. Die Versionen 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1 und 8.14.0 korrigieren ihn. IT-Verantwortliche sollen 8er-Versionen vor 8.9 auf einen unterstützten Stand hieven, schreiben die Atlassian-Entwickler in der Sicherheitsmeldung. Bösartige Akteure aus dem Netz können ohne vorherige Anmeldung einen Denial-of-Service-Angriff auf Atlassian Confluence Data Center und Server starten. Dazu ist keine weitere Nutzerinteraktion nötig (CVE-2023-22512, CVSS 7.5, hoch). Betroffen ist Confluence ab Version 5.6. Die Lücke stopfen die Fassungen 7.19.14 sowie 8.5.1; wer Version 8.6 oder neuer einsetzt, kommt bereits in den Genuss der Fehlerkorrekturen, schreibt Atlassian. Eine ernsthafte Schwachstelle im Patch Management von Atlassian Jira Service Management Data Center und Server ermöglicht Angreifern, Posten aus der IT-Umgebung zu enthüllen, die möglicherweise angreifbar sind. Wie das konkret aussieht, erläutert Atlassian jedoch nicht (CVE-2022-25647, CVSS 7.5, hoch). Der Fehler besteht seit Fassung 4.20.0 von Jira Service Management Data Center und Server und ist in den Versionsständen 4.20.25, 5.4.9, 5.9.2 sowie 5.10.1 und 5.11.0 und jüngeren Vergangenheit. IT-Verantwortliche sollten die bereitstehenden Aktualisierungen zügig herunterladen und installieren, sofern das bislang nicht geschehen ist. Im Februar dieses Jahres hatte Atlassian eine kritische Sicherheitslücke in Jira Service Management geschlossen. Sie ermöglichte Angreifern die Kontenübernahme.
