bitvoodoo Advisories
Space shortcuts
Space Tools
bitvoodoo Advisories BVADVIS

Versions Compared

Old Version 10

changes.mady.by.user Unknown User (cora.egli@bitvoodoo.ch)

Saved on

compared with

New Version Current

changes.mady.by.user Unknown User (niklas.becker@bitvoodoo.ch)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


English

Contents


German

Inhalte


Table of Contents



Page properties


Date

 

Product
  • Apache Log4j 2
Vulnerability

Critical

CVECVE-2021-44228, CVE-2021-45046, CVE-2021-45105
Official linkMultiple Products Security Advisory - Log4j Vulnerable To Remote Code Execution - CVE-2021-44228



Advanced Panelbox
titleAlignmentleft
id4
titleLog4Shell Information - bitvoodoo apps
titleIconbvicon-info-circled

Looking for information about bitvoodoo apps? Look here.



English

Dear customer,

On Thursday 9th December, developers and security researchers found a security vulnerability in Apache Log4j 2.

Update : Atlassian put out a Security Advisory for this exploit here: Multiple Products Security Advisory - Log4j Vulnerable To Remote Code Execution - CVE-2021-44228.

Update : Atlassian updated the Security Advisory to inform about a finding that shows that some Bitbucket Data Center and Server Versions are affected. We created a info page here: Bitbucket Security Advisory - 2021-12-16.

Update : Atlassian updated their FAQ with information regarding CVE 2021-45046, see here: FAQ for CVE-2021-44228 and CVE-2021-45046.

Update : Atlassian updated their FAQ with information regarding CVE-2021-45105, see here: FAQ for CVE-2021-44228, CVE-2021-45046 and CVE-2021-45105.

What you need to know

A security vulnerability was discovered in Apache Log4j 2. Log4j is a popular logging package for Java.

This is a security issue affecting a broad range of software based upon Java. Atlassian products such as Jira and Confluence run on Java and also utilize Log4j.

Atlassian products

Note
titleBitbucket

The following informations refer to all products

Tip

except for Bitbucket Server and Data Center. If you use Bitbucket please refer to Bitbucket Security Advisory - 2021-12-16.

Data Center and Server Products

Most Atlassian on-premise applications use an outdated version of Log4j and are not affected

.As of now, Atlassian issued no full Security Advisory. On 10th December, Atlassian put out a FAQ for this exploit underhttps://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html

Data Center & Server

Our Security team is currently investigating the impact of the Log4j remote code execution vulnerability (

if you didn't modify Log4j yourself. See FAQ for CVE-2021-44228 and CVE-2021-45046.

Cloud Products

Atlassian secured their cloud products and has not identified compromised systems. The on-demad applications and are not affected. See FAQ for CVE-2021-44228

) and determining any possible impact on our on-premise products.

So far, we do not believe our on-premises products are vulnerable to exploitation in their default configuration. However, if a you have modified the default logging configuration (log4j.properties) to enable the JMS Appender functionality, remote code execution may be possible in the following products (Bitbucket Server & Data Center are not affected):

  • Jira Server & Data Center

  • Confluence Server & Data Center

  • Bamboo Server & Data Center

  • Crowd Server & Data Center

  • Fisheye

    • Crucible

    and CVE-2021-45046.

    What should I do?

    Localtab Group


    tabIcon
    Localtab
    titlebitvoodoo cloud
    bvicon-cloud

    Your application is hosted with bitvoodoo

    We have checked our installations according to the information in the FAQ. The installations have no configurations that could lead to misuse. As your Atlassian application uses the default configuration of Log4j, you are not affected by the exploit.

    Third-party apps can still pose a risk. We cannot determine whether there is a risk in this respect in your installation. As we cannot speak for other app vendors, we cannot be sure that other apps are safe. You might need to get in touch with other Atlassian Marketplace vendors. Please contact our support if you need assistance.

    We have checked our bitvoodoo apps and found them to be risk-free. You can find more information about our apps here: Log4Shell - bitvoodoo apps - 2021-12-13

    Localtab
    activetrue
    titleself-hosted
    tabIconbvicon-server

    You host your application

    yourself

    yourself 

    If you have never customized the settings of Log4j inside the Atlassian installation, you are on the safe side. As your Atlassian application uses the default configuration of Log4j, you are not affected by the exploit.

    If you have set Log4j to work with JMS Appenders or are unsure, follow the instructions "How can I mitigate this exploit?" in the FAQ for CVE-2021-44228 and CVE-2021-45046.

    Apps

    Third-party apps can still pose a risk. Atlassian is reviewing all apps and informs the vendors it the find a security risk. We have checked our bitvoodoo apps and found them to be risk-free. You can find more information about our apps here: Log4Shell - bitvoodoo apps - 2021-12-13

    We cannot determine whether there is a risk in this respect in your installation. As we cannot speak for other app vendors, we cannot be sure that other apps are safe. You might need to get in touch with other Atlassian Marketplace vendors, . Should we get aware of a vulnerable app we will inform accordingly.

    Please contact our support if you need assistance. 


    Localtab
    titlebitvoodoo Cloud
    tabIconbvicon-cloud

    Your application is hosted with bitvoodoo

    Tip

    We have checked our installations according to the information in the FAQ. The installations have no configurations that could lead to misuse. As your Atlassian application uses the default configuration of Log4j, you applications are not affected by the exploit.

    Apps

    Third-party apps can still pose a risk. Atlassian is reviewing all apps and informs the vendors it the find a security risk. We have checked our bitvoodoo apps and found them to be risk-free. You can find more information about our apps here: Log4Shell - bitvoodoo apps - 2021-12-13

    As we cannot speak for other app vendors, we cannot be sure that other apps are safe. You might need to get in touch with other Atlassian Marketplace vendors. Should we get aware of a vulnerable app we will inform accordingly.

    Please contact our support if you need assistance. 


    Localtab
    titleAtlassian Cloud
    tabIconbvicon-cloud

    Your application is with Atlassian Cloud

    Tip

    Atlassian secured their cloud products and has not identified compromised systems. The on-demad applications and are not affected.



    Further Recommendation

    Please check all Java based software, beside Atlassian products, running in your organisation as this is a serious security risk.

    Further Reading

    Support

    If you still have questions or concerns regarding this advisory, please contact the bitvoodoo support via support.bitvoodoo.ch.


    German

    Sehr geehrte Kunden,

    am Donnerstag, den 9. Dezember, haben Entwickler und Sicherheitsforscher eine Sicherheitslücke in Apache Log4j 2 entdeckt.

    Update : Atlassian hat ein Security Advisory für diese Schwachstelle veröffentlicht, siehe hier: Multiple Products Security Advisory - Log4j Vulnerable To Remote Code Execution - CVE-2021-44228.

    Update : Atlassian hat das Security Advisory aktualisiert, um über einen Fund zu informieren, der zeigt, dass einige Bitbucket-Versionen betroffen sind. Wir haben eine Info-Seite, siehe hier: Bitbucket Security Advisory - 2021-12-16.

    Update : Atlassian hat die FAQ mit Informationen zu CVE 2021-45046 erweitert, siehe hier: FAQ for CVE-2021-44228 and CVE-2021-45046.

    Update : Atlassian hat die FAQ mit Informationen zu CVE-2021-45105 erweitert, siehe hier: FAQ for CVE-2021-44228, CVE-2021-45046 and CVE-2021-45105.

    Was Sie wissen müssen

    In Apache Log4j 2 wurde eine Sicherheitslücke entdeckt. Log4j ist ein beliebtes Protokollierungspaket für Java.

    Es handelt sich um ein Sicherheitsproblem, das eine breite Palette von Software betrifft, die auf Java basiert. Atlassian-Produkte wie Jira und Confluence laufen auf Java und nutzen ebenfalls Log4j.


    Atlassian-Produkte

    Bitbucket Data Center und Server

    Warning

    Bitte lesen Sie Bitbucket Security Advisory - 2021-12-16!


    Alle anderen Data Center und Server Produkte

    Die meisten Atlassian On-Premise-Anwendungen verwenden eine veraltete Version von Log4j und sind daher nicht betroffen. Bis jetzt hat Atlassian noch keinen vollständigen Sicherheitshinweis veröffentlicht. Am 10. Dezember hat Atlassian eine FAQ zu diesem Exploit veröffentlicht unter https://confluence.atlassian.com/kb/faq-for-cve-2021-44228-1103069406.html

    Our Security team is currently investigating the impact of the Log4j remote code execution vulnerability (CVE-2021-44228) and determining any possible impact on our on-premise products.

    So far, we do not believe our on-premises products are vulnerable to exploitation in their default configuration. However, if a you have modified the default logging configuration (log4j.properties) to enable the JMS Appender functionality, remote code execution may be possible in the following products (Bitbucket Server & Data Center are not affected):

    • Jira Server & Data Center

    • Confluence Server & Data Center

    • Bamboo Server & Data Center

    • Crowd Server & Data Center

    • Fisheye

    • Crucible

    Unsere Installationen wurden gemäss Informationen im FAQ überprüft und haben keine Konfigurationen, die zu einem Missbrauch führen können.

    Ein Risiko kann von Apps von Drittherstellern ausgehen. Ob diesbezüglich in ihrer Installation eine Risiko besteht können wir nicht eruieren. Unsere eigenen bitvoodoo Apps haben wir überprüft und als risikofrei bezeichnet. Mehr Informationen zu unseren Apps finden Sie hier: Log4Shell - bitvoodoo apps - 2021-12-13

    Siehe FAQ for CVE-2021-44228 and CVE-2021-45046.


    Cloud Produkte

    Atlassian hat die Cloud Produkte abgesichert und konnte keine kompromittierten Systeme feststellen. Die On-Demad-Anwendungen sind nicht betroffen. Siehe FAQ for CVE-2021-44228 and CVE-2021-45046.

    Was soll ich unternehmen?

    localtab

    Ihre Anwendung wird bei bitvoodoo gehostet

    Unsere Installationen wurden gemäss den Angaben in der FAQ überprüft und weisen keine Konfigurationen auf, die zu einem Missbrauch führen könnten. Da Ihre Atlassian-Anwendung die Standardkonfiguration von Log4j verwendet, sind Sie von dem Exploit nicht betroffen.

    Apps von Drittanbietern können dennoch ein Risiko darstellen. Wir können nicht feststellen, ob bei Ihrer Installation ein diesbezügliches Risiko besteht. Da wir nicht für andere Anbieter von Apps sprechen können, können wir nicht sicher sein, dass diese sicher sind. Möglicherweise müssen Sie sich mit anderen Atlassian Marketplace-Anbietern in Verbindung setzen, kontaktieren Sie unseren Support, wenn Sie Hilfe benötigen.

    Wir haben unsere bitvoodoo-Apps geprüft und für risikofrei befunden. Mehr Informationen über unsere Apps finden Sie hier:  Log4Shell - bitvoodoo apps - 2021-12-13
    Localtab Group
    Note
    title
    		bitvoodoo cloud
    tabIconbvicon-cloud
    Bitbucket

    Die folgenden Informationen beziehen sich auf alle Produkte mit Ausnahme von Bitbucket. Wenn Sie Bitbucket Data Center oder Server verwenden, lesen Sie bitte Bitbucket Security Advisory - 2021-12-16.


    Localtab Group


    Localtab
    activetrue
    titleself-hosted
    tabIconbvicon-server

    Sie hosten Ihre Anwendung selbst

    Wenn Sie die Einstellungen von Log4j innerhalb der Atlassian-Installation nie angepasst haben, sind Sie auf der sicheren Seite. Da Ihre Atlassian-Anwendung die Standardkonfiguration von Log4j verwendet, sind Sie von dem Exploit nicht betroffen.

    Sollten Sie Log4j so eingestellt haben, dass es mit JMS-Appendern arbeitet, oder Sie sich nicht ganz sicher sind, folgen Sie der Anleitung "How can I mitigate this exploit?" in der FAQ for CVE-2021-44228 and CVE-2021-45046.

    Apps

    Apps von Drittanbietern können dennoch ein Risiko darstellen. Atlassian prüft aktuell alle Apps und informiert die Anbieter, wenn sie ein Sicherheitsrisiko feststellen. Wir haben unsere bitvoodoo-Apps geprüft und für risikofrei befunden. Mehr Informationen über unsere Apps finden Sie hier:  Log4Shell - bitvoodoo apps - 2021-12-13

    Wir können nicht feststellen, ob bei Ihrer Installation ein diesbezügliches Risiko besteht. Da wir nicht für andere Anbieter von Apps sprechen können, können wir nicht sicher sein, dass diese sicher sind. Möglicherweise müssen Sie sich mit anderen Atlassian Marketplace-Anbietern in Verbindung setzen, kontaktieren . Sollten wir von einer gefährdeten App erfahren, werden wir Sie entsprechend informieren.

    Kontaktieren Sie unseren Support, wenn Sie Hilfe benötigen.


    Localtab
    titlebitvoodoo Cloud
    tabIconbvicon-cloud

    Ihre Anwendung wird bei bitvoodoo gehostet

    Tip

    Unsere Installationen wurden gemäss den Angaben in der FAQ überprüft und weisen keine Konfigurationen auf, die zu einem Missbrauch führen könnten. Da Ihre Atlassian-Anwendung die Standardkonfiguration von Log4j verwendet, sind Ihre Anwendungen von dem Exploit nicht betroffen.

    Apps

    Apps von Drittanbietern können dennoch ein Risiko darstellen. Atlassian prüft aktuell alle Apps und informiert die Anbieter, wenn sie ein Sicherheitsrisiko feststellen. Wir haben unsere bitvoodoo-Apps geprüft und für risikofrei befunden. Mehr Informationen über unsere Apps finden Sie hier:  Log4Shell - bitvoodoo apps - 2021-12-13

    Da wir nicht für andere Anbieter von Apps sprechen können, können wir nicht sicher sein, dass diese sicher sind. Möglicherweise müssen Sie sich mit anderen Atlassian Marketplace-Anbietern in Verbindung setzen. Sollten wir von einer gefährdeten App erfahren, werden wir Sie entsprechend informieren.

    Kontaktieren Sie unseren Support, wenn Sie Hilfe benötigen.


    Localtab
    titleAtlassian Cloud
    tabIconbvicon-cloud

    Ihre Anwendung ist in der Atlassian Cloud

    Tip

    Atlassian hat die Cloud Produkte abgesichert und konnte keine kompromittierten Systeme feststellen. Die On-Demad-Anwendungen sind nicht betroffen.




    Weitergehende Empfehlung

    Bitte überprüfen Sie alle Java-basierte Software, die in Ihrer Organisation betrieben wird, da Log4Shell ein ernstes Sicherheitsrisiko darstellt.

    Weitere Informationen zum Thema

    Support

    Wenn Sie noch Fragen oder Bedenken zu diesem Advisory haben, wenden Sie sich bitte an den bitvoodoo Support via support.bitvoodoo.ch.


    bitvoodoo Advisories BVADVIS