Pilne łatki dla Jira, Confluence, Bitbucket. Krytyczny wpływ na bezpieczeństwo

itweek.pl 5 miesięcy temu

Atlassian wydał ostrzeżenie dotyczące bezpieczeństwa dotyczące czterech krytycznych podatności RCE, które wpływają na produkty firmy, w tym Confluence, Jira i Bitbucket.

Wszystkie luki zostały ocenione na co najmniej 9,0 w skali od 1 do 10 pod względem krytycznego wpływu na bezpieczeństwo. Atlassian zaleca jednak firmom ocenę możliwości zastosowania aktualizacji w zależności od ich środowiska IT.

Luki zostały zidentyfikowane przez Atlassian i zgłoszone do odpowiednich organów. Firma nie oznaczyła żadnego z problemów bezpieczeństwa jako wykorzystywanego w środowisku naturalnym. Jednakże ze względu na popularność produktów Atlassian i ich szerokie wdrożenie w środowiskach korporacyjnych administratorzy systemów powinni priorytetowo traktować stosowanie dostępnych aktualizacji.

Zestaw czterech podatności RCE zaadresowanych w tym miesiącu:

  • CVE-2023-22522 – podatność polegająca na wstrzykiwaniu szablonu, która umożliwia uwierzytelnionym użytkownikom, w tym anonimowym, wprowadzanie niebezpiecznych danych wejściowych na stronę Confluence. Usterka dotyczy wszystkich wersji Confluence Data Center i Server od 4.0.0 do 8.5.3.
  • CVE-2023-22523 – podatność uprzywilejowanego agenta RCE w Asset Discovery, która wpływa na Jira Service Management Cloud, Server i Data Center. Wersje Vulnerable Asset Discovery to wersje poniżej 3.2.0 dla chmury i 6.2.0 dla centrum danych i serwera.
  • CVE-2023-22524 – podatność polegająca na omijaniu listy blokowanych i macOS Gatekeeper w aplikacji towarzyszącej dla Confluence Server i Data Center dla macOS. Usterka dotyczy wszystkich wersji aplikacji wcześniejszych niż 2.0.0.
  • CVE-2022-1471 – podatność RCE w bibliotece SnakeYAML, która wpływa na wiele wersji produktów Jira, Bitbucket i Confluence.

W przypadku CVE-2023-22523, jeżeli odinstalowanie agentów Asset Discovery w celu zastosowania łatki nie jest w tej chwili możliwe lub musi zostać opóźnione, Atlassian zapewnia tymczasowe rozwiązanie polegające na zablokowaniu portu używanego do komunikacji z agentami, którym domyślnie jest 51337.

**W przypadku CVE-2023-22522 nie ma rozwiązania łagodzącego.

Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Pilne łatki dla Jira, Confluence, Bitbucket. Krytyczny wpływ na bezpieczeństwo

Powiązane

Dlaczego telefon podłączony do ładowarki nie ładuje się?

Dlaczego telefon podłączony do ładowarki nie ładuje się?

2 dni temu
Dwa nowe zero-daye w przeglądarkach Apple i Google. Łatajcie! Są exploity

Dwa nowe zero-daye w przeglądarkach Apple i Google. Łatajcie...

3 dni temu
Podatności i aktualizacje do produktów firmy PHOENIX CONTACT (P24-164)

Podatności i aktualizacje do produktów firmy PHOENIX CONTACT...

5 dni temu
Czy AI zabierze pracę w cyberbezpieczeństwie? Będzie wręcz odwrotnie – przykład XSS w Zoomin!

Czy AI zabierze pracę w cyberbezpieczeństwie? Będzie wręcz o...

6 dni temu
Google publikuje aktualizacje przeglądarki Chrome do wersji 124.0.6367.201/.202 (P24-155)

Google publikuje aktualizacje przeglądarki Chrome do wersji ...

6 dni temu
Lampy sufitowe szklane jako eleganckie rozwiązanie do salonu

Lampy sufitowe szklane jako eleganckie rozwiązanie do salonu...

6 dni temu
Podatność w oprogramowaniu Ant Media Server

Podatność w oprogramowaniu Ant Media Server

1 tydzień temu
Lepiej gwałtownie zaktualizuj Google Chrome. Wykryto groźną lukę bezpieczeństwa

Lepiej gwałtownie zaktualizuj Google Chrome. Wykryto groźną ...

1 tydzień temu
SY0-701: Secure baselines (PL)

SY0-701: Secure baselines (PL)

1 tydzień temu