Pilne łatki dla Jira, Confluence, Bitbucket. Krytyczny wpływ na bezpieczeństwo

Wszystkie luki zostały ocenione na co najmniej 9,0 w skali od 1 do 10 pod względem krytycznego wpływu na bezpieczeństwo. Atlassian zaleca jednak firmom ocenę możliwości zastosowania aktualizacji w zależności od ich środowiska IT.

Pilne łatki dla Jira, Confluence, Bitbucket. Krytyczny wpływ na bezpieczeństwo, itweek.pl
Pilne łatki dla Jira, Confluence, Bitbucket. Krytyczny wpływ na bezpieczeństwo, itweek.pl

Atlassian wydał ostrzeżenie dotyczące bezpieczeństwa dotyczące czterech krytycznych podatności RCE, które wpływają na produkty firmy, w tym Confluence, Jira i Bitbucket.

Wszystkie luki zostały ocenione na co najmniej 9,0 w skali od 1 do 10 pod względem krytycznego wpływu na bezpieczeństwo. Atlassian zaleca jednak firmom ocenę możliwości zastosowania aktualizacji w zależności od ich środowiska IT.

Luki zostały zidentyfikowane przez Atlassian i zgłoszone do odpowiednich organów. Firma nie oznaczyła żadnego z problemów bezpieczeństwa jako wykorzystywanego w środowisku naturalnym. Jednakże ze względu na popularność produktów Atlassian i ich szerokie wdrożenie w środowiskach korporacyjnych administratorzy systemów powinni priorytetowo traktować stosowanie dostępnych aktualizacji.

Zestaw czterech podatności RCE zaadresowanych w tym miesiącu:

  • CVE-2023-22522 – podatność polegająca na wstrzykiwaniu szablonu, która umożliwia uwierzytelnionym użytkownikom, w tym anonimowym, wprowadzanie niebezpiecznych danych wejściowych na stronę Confluence. Usterka dotyczy wszystkich wersji Confluence Data Center i Server od 4.0.0 do 8.5.3.
  • CVE-2023-22523 – podatność uprzywilejowanego agenta RCE w Asset Discovery, która wpływa na Jira Service Management Cloud, Server i Data Center. Wersje Vulnerable Asset Discovery to wersje poniżej 3.2.0 dla chmury i 6.2.0 dla centrum danych i serwera.
  • CVE-2023-22524 – podatność polegająca na omijaniu listy blokowanych i macOS Gatekeeper w aplikacji towarzyszącej dla Confluence Server i Data Center dla macOS. Usterka dotyczy wszystkich wersji aplikacji wcześniejszych niż 2.0.0.
  • CVE-2022-1471 – podatność RCE w bibliotece SnakeYAML, która wpływa na wiele wersji produktów Jira, Bitbucket i Confluence.

Więcej na temat podatności można znaleźć pod tym linkiem: https://jira.atlassian.com/browse/CONFSERVER-93502

W przypadku CVE-2023-22523, jeśli odinstalowanie agentów Asset Discovery w celu zastosowania łatki nie jest w tej chwili możliwe lub musi zostać opóźnione, Atlassian zapewnia tymczasowe rozwiązanie polegające na zablokowaniu portu używanego do komunikacji z agentami, którym domyślnie jest 51337.

**W przypadku CVE-2023-22522 nie ma rozwiązania łagodzącego.