Eine laut dem Common Vulnerability Scoring System (CVSS) als kritisch eingestufte Sicherheitslücke war zwar nicht darunter. Dafür aber insgesamt 28 Funde mit einem hohen Risiko, wie
Atlassian in seinem
Security Bulletin zum Januar-Patchday meldet. Die zwei schwerwiegendsten Sicherheitslücken mit einem Score von jeweils 8,8 hätten eine Remote Code Execution in Bamboo Data Center and Server erlaubt.
Atlassian, vor allem Anbieter für Entwickleranwendungen, hat die 28 Schwachstellen laut eigenen Angaben durch das Bug-Bounty-Programm, durch Pen-Testing sowie durch Scans von Drittanbieter-Libraries aufgespürt. Der Anbieter empfiehlt, die entsprechenden Programme schnellstmöglich auf den neusten Stand zu bringen, um die Sicherheitslücken zu schliessen.
Betroffen sind unter anderem Bitbucket, Bamboo, Jira, Crowd und Confluence. Die mit den 28 Sicherheitslücken einhergehenden Risiken sind ebenfalls vielfältig, sie reichen von möglichen Denial-of-Service-Angriffen über Request Smuggling bis hin zum bereits aufgeführten Ausführen von unerwünschtem Code.
(sta)