bitvoodoo Advisories
Space shortcuts
Space Tools
bitvoodoo Advisories BVADVIS

Versions Compared

Old Version 7

changes.mady.by.user Unknown User (niklas.becker@bitvoodoo.ch)

Saved on

compared with

New Version 10

changes.mady.by.user Unknown User (cora.egli@bitvoodoo.ch)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.



Page properties


Date

 

Product

Log4j 2

VulnerabilityNot applicableCritical
Official linkCVE-2021-44228




English

Dear customer,

on On Thursday 9th december December, developers and security researcher researchers found a security vulnerability in Apache Log4j 2.

What you need to know

A security vulnerability was discovered in Apache Log4j 2. Log4j is a popular logging package for Java.

This is a security issue affecting a broad range of software based upon Java. Atlassian products such as Jira and Confluence run on Java and also utilize Log4j.

Atlassian products


Tip

Atlassian on-premise applications use an outdated version of Log4j and are not affected

therefore

.



As of now, Atlassian issued no full Security AdviosoryAdvisory.  On 10th of December, Atlassian put out a FAQ for this exploit underhttps://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html

Data Center & Server

Our Security team is currently investigating the impact of the Log4j remote code execution vulnerability (CVE-2021-44228) and determining any possible impact on our on-premise products.

So far, we do not believe our on-premises products are vulnerable to exploitation in their default configuration. However, if a you have modified the default logging configuration (log4j.properties) to enable the JMS Appender functionality, remote code execution may be possible in the following products (Bitbucket Server & Data Center are not affected):

  • Jira Server & Data Center

  • Confluence Server & Data Center

  • Bamboo Server & Data Center

  • Crowd Server & Data Center

  • Fisheye

  • Crucible

Our installations have been checked according to


What should I do?

Localtab Group


Localtab
titlebitvoodoo cloud
tabIconbvicon-cloud

Your application is hosted with bitvoodoo

We have checked our installations according to the information in the FAQ

and

. The installations have no configurations that could lead to misuse. As your Atlassian application uses the default configuration of Log4j, you are not affected by the exploit.

Third-party apps can still pose a risk. We cannot determine whether there is a risk in this respect in your installation. As we cannot speak for other app vendors, we cannot be sure that other apps are safe. You might need to get in touch with other Atlassian Marketplace vendors. Please contact our support if you need assistance.

We have checked our

own

bitvoodoo apps and found them to be risk-free. You can find more information about our apps here: Log4Shell - bitvoodoo apps - 2021-12-13


Localtab
activetrue
titleself-hosted
tabIconbvicon-server

You host your application yourself

If you have never customized the settings of Log4j inside the Atlassian installation, you are on the safe side.

What should I do?

As your Atlassian application

is using

uses the default configuration of Log4j, you are not affected by the exploit.

As we can't

If you have set Log4j to work with JMS Appenders or are unsure, follow the instructions "How can I mitigate this exploit?" in the FAQ for CVE-2021-44228.

Third-party apps can still pose a risk. We cannot determine whether there is a risk in this respect in your installation. As we cannot speak for other app vendors, we cannot be

certain

sure that other apps are safe. You might need to get in touch with other Atlassian Marketplace vendors, contact our support if you need

assitance.

assistance.

We have checked our bitvoodoo apps and found them to be risk-free. You can find more information about our apps here: Log4Shell - bitvoodoo apps - 2021-12-13



Further Reading

Support

If you still have questions or concerns regarding this advisory atadvisory, please contact the bitvoodoo support via support.bitvoodoo.ch with bitvoodoo support.



German

Sehr geehrte Kunden,

am Donnerstag, den 9. Dezember, haben Entwickler und Sicherheitsforscher eine Sicherheitslücke in Apache Log4j 2 entdeckt.

Was Sie wissen müssen

In Apache Log4j 2 wurde eine Sicherheitslücke entdeckt. Log4j ist ein beliebtes Protokollierungspaket für Java.

Es handelt sich um ein Sicherheitsproblem, das eine breite Palette von Software betrifft, die auf Java basiert. Atlassian-Produkte wie Jira und Confluence laufen auf Java und nutzen ebenfalls Log4j.


Atlassian-Produkte

Atlassian On-Premise-Anwendungen verwenden eine veraltete Version von Log4j und sind daher nicht betroffen.

Bis jetzt hat Atlassian noch keinen vollständigen Sicherheitshinweis veröffentlicht. Am 10. Dezember hat Atlassian eine FAQ zu diesem Exploit veröffentlicht unter https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html

Our Security team is currently investigating the impact of the Log4j remote code execution vulnerability (CVE-2021-44228) and determining any possible impact on our on-premise products.

So far, we do not believe our on-premises products are vulnerable to exploitation in their default configuration. However, if a you have modified the default logging configuration (log4j.properties) to enable the JMS Appender functionality, remote code execution may be possible in the following products (Bitbucket Server & Data Center are not affected):

  • Jira Server & Data Center

  • Confluence Server & Data Center

  • Bamboo Server & Data Center

  • Crowd Server & Data Center

  • Fisheye

  • Crucible

Unsere Installationen wurden gemäss Informationen im FAQ überprüft und haben keine Konfigurationen, die zu einem Missbrauch führen können.

Ein Risiko kann von Apps von Drittherstellern ausgehen. Ob diesbezüglich in ihrer Installation eine Risiko besteht können wir nicht eruieren. Unsere eigenen bitvoodoo Apps haben wir überprüft und als risikofrei bezeichnet. Mehr Informationen zu unseren Apps finden Sie hier: Log4Shell - bitvoodoo apps - 2021-12-13

Was soll ich unternehmen?

Localtab Group


Localtab
titlebitvoodoo cloud
tabIconbvicon-cloud

Ihre Anwendung wird bei bitvoodoo gehostet

Unsere Installationen wurden gemäss den Angaben in der FAQ überprüft und weisen keine Konfigurationen auf, die zu einem Missbrauch führen könnten. Da Ihre Atlassian-Anwendung die Standardkonfiguration von Log4j verwendet, sind Sie von dem Exploit nicht betroffen.

Apps von Drittanbietern können dennoch ein Risiko darstellen. Wir können nicht feststellen, ob bei Ihrer Installation ein diesbezügliches Risiko besteht. Da wir nicht für andere

App-

Anbieter von Apps sprechen können, können wir nicht sicher sein, dass diese sicher sind. Möglicherweise müssen Sie sich mit anderen Atlassian Marketplace-Anbietern in Verbindung setzen, kontaktieren Sie unseren Support, wenn Sie Hilfe benötigen.

Wir haben unsere bitvoodoo-Apps geprüft und für risikofrei befunden. Mehr Informationen über unsere Apps finden Sie hier:  Log4Shell - bitvoodoo apps - 2021-12-13


Localtab
activetrue
titleself-hosted
tabIconbvicon-server

Sie hosten Ihre Anwendung selbst

Wenn Sie die Einstellungen von Log4j innerhalb der Atlassian-Installation nie angepasst haben, sind Sie auf der sicheren Seite. Da Ihre Atlassian-Anwendung die Standardkonfiguration von Log4j verwendet, sind Sie von dem Exploit nicht betroffen.

Sollten Sie Log4j so eingestellt haben, dass es mit JMS-Appendern arbeitet, oder Sie sich nicht ganz sicher sind, folgen Sie der Anleitung "How can I mitigate this exploit?" in der FAQ for CVE-2021-44228.

Apps von Drittanbietern können dennoch ein Risiko darstellen. Wir können nicht feststellen, ob bei Ihrer Installation ein diesbezügliches Risiko besteht. Da wir nicht für andere Anbieter von Apps

nicht betroffen

sprechen können, können wir nicht sicher sein, dass diese sicher sind. Möglicherweise müssen Sie sich mit anderen Atlassian Marketplace-Anbietern in Verbindung setzen, kontaktieren Sie unseren Support, wenn Sie Hilfe benötigen.

Wir haben unsere bitvoodoo-Apps geprüft und für risikofrei befunden. Mehr Informationen über unsere Apps finden Sie hier:  Log4Shell - bitvoodoo apps - 2021-12-13



Weitere Informationen zum Thema

Support

Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte unter an den bitvoodoo Support via support.bitvoodoo.ch an den bitvoodoo Support.



bitvoodoo Advisories BVADVIS