Pilne łatki dla Jira, Confluence, Bitbucket. Krytyczny wpływ na bezpieczeństwo

itweek.pl 1 rok temu
Zdjęcie: Pilne łatki dla Jira, Confluence, Bitbucket. Krytyczny wpływ na bezpieczeństwo, itweek.pl


Atlassian wydał ostrzeżenie dotyczące bezpieczeństwa dotyczące czterech krytycznych podatności RCE, które wpływają na produkty firmy, w tym Confluence, Jira i Bitbucket.

Wszystkie luki zostały ocenione na co najmniej 9,0 w skali od 1 do 10 pod względem krytycznego wpływu na bezpieczeństwo. Atlassian zaleca jednak firmom ocenę możliwości zastosowania aktualizacji w zależności od ich środowiska IT.

Luki zostały zidentyfikowane przez Atlassian i zgłoszone do odpowiednich organów. Firma nie oznaczyła żadnego z problemów bezpieczeństwa jako wykorzystywanego w środowisku naturalnym. Jednakże ze względu na popularność produktów Atlassian i ich szerokie wdrożenie w środowiskach korporacyjnych administratorzy systemów powinni priorytetowo traktować stosowanie dostępnych aktualizacji.

Zestaw czterech podatności RCE zaadresowanych w tym miesiącu:

  • CVE-2023-22522 – podatność polegająca na wstrzykiwaniu szablonu, która umożliwia uwierzytelnionym użytkownikom, w tym anonimowym, wprowadzanie niebezpiecznych danych wejściowych na stronę Confluence. Usterka dotyczy wszystkich wersji Confluence Data Center i Server od 4.0.0 do 8.5.3.
  • CVE-2023-22523 – podatność uprzywilejowanego agenta RCE w Asset Discovery, która wpływa na Jira Service Management Cloud, Server i Data Center. Wersje Vulnerable Asset Discovery to wersje poniżej 3.2.0 dla chmury i 6.2.0 dla centrum danych i serwera.
  • CVE-2023-22524 – podatność polegająca na omijaniu listy blokowanych i macOS Gatekeeper w aplikacji towarzyszącej dla Confluence Server i Data Center dla macOS. Usterka dotyczy wszystkich wersji aplikacji wcześniejszych niż 2.0.0.
  • CVE-2022-1471 – podatność RCE w bibliotece SnakeYAML, która wpływa na wiele wersji produktów Jira, Bitbucket i Confluence.

W przypadku CVE-2023-22523, jeżeli odinstalowanie agentów Asset Discovery w celu zastosowania łatki nie jest w tej chwili możliwe lub musi zostać opóźnione, Atlassian zapewnia tymczasowe rozwiązanie polegające na zablokowaniu portu używanego do komunikacji z agentami, którym domyślnie jest 51337.

**W przypadku CVE-2023-22522 nie ma rozwiązania łagodzącego.

Idź do oryginalnego materiału