Am 09. Dezember 2021 wurde ein sogenannter 0-day RCE Exploit in der Bibliothek log4j veröffentlicht. Diese Bibliothek ist eines der weitverbreitetsten Java Logging Bibliotheken. Der Exploit mit der Bezeichnung CVE-2021-44228 erlaubt einem Angreifer die Ausführung von beliebigen Code auf dem Zielsystem.

Atlassian hat inzwischen hier ein Security Advisory zu diesem Sicherheitsproblem online gestellt.

Impact auf die Cloud Produkte von Atlassian

Atlassian Cloud Kunden müssen nicht aktiv werden. Laut Atlassian ist die Gefahr gebannt und es gibt keinen Hinweis darauf, dass die Sicherheitslücke ausgenutzt worden ist.

Impact auf die on-premises Produkte von Atlassian

Die on-premises Produkte (Server & Data Center) sind in der Standardkonfiguration nicht betroffen. Es wird dennoch dringend empfohlen zu prüfen ob die Konfiguration nachträglich geändert wurde. Die entsprechende Schritte finden sich in dem Security AdvisoryDas häufig mit Bitbucket gemeinsam verwendete Tool Elasticsearch verwendet zwar eine theoretisch angreifbare log4j-Version, ist aber ebenfalls nicht betroffen.

Impact auf Apps

Sowohl Cloud- als auch Server-/Data Center-Apps können log4j nutzen und somit von CVE-2021-44228 betroffen sein. Atlassian führt zur Zeit automatisierte Scans aller Apps im Marketplace durch und wird diejenige Apps deaktivieren, die nicht in angemessener Zeit reagieren.

Sollten Sie Fragen haben oder Unterstüzung benötigen kontaktieren Sie uns.