Az Atlassian biztonsági tanácsokat tett közzé négy kritikus távoli kódfuttatási (RCE) sebezhetőségről, amelyek a Confluence, Jira és Bitbucket szervereket érintik, valamint egy társalkalmazást a macOS-hez.
Az Atlassian belső értékelése alapján minden érintett biztonsági probléma legalább 9,0 súlyossági pontszámot kapott a 10-ből. A vállalat egyik biztonsági problémát sem jelölte meg aktívan kihasználtnak. Az Atlassian termékek népszerűsége és vállalati környezetekben való széles körű elterjedtsége miatt azonban a rendszergazdáknak prioritásként kell kezelniük a rendelkezésre álló frissítések alkalmazását.
Az ebben a hónapban kezelt négy RCE sebezhetőség a következő azonosítókat kapta:
-
- CVE-2023-22522: Sabloninjekciós hiba, amely lehetővé teszi, hogy hitelesített felhasználók, beleértve az anonim hozzáféréssel rendelkezőket is, nem biztonságos bemenetet injektáljanak egy Confluence oldalba (kritikus, 9,0 súlyossági pontszámmal). A hiba a Confluence Data Center és Server minden 4.0.0 utáni és a 8.5.3-as verzióig terjedő verzióját érinti.
- CVE-2023-22523: Privileged RCE az Assets Discovery agent-ben, amely a Jira Service Management Cloud, Server és Data Center rendszereket érinti (kritikus, 9,8-as súlyossági pontszámmal). A sebezhető Asset Discovery verziók a 3.2.0 alattiak a Cloud és a 6.2.0 alattiak a Data Center és a Server esetében.
- CVE-2023-22524: A blokklista és a macOS Gatekeeper megkerülése a Confluence Server és Data Center for macOS társalkalmazásában, amely az alkalmazás 2.0.0 előtti összes verzióját érinti (kritikus, 9,6-os súlyossági pontszámmal).
- CVE-2022-1471: RCE a SnakeYAML könyvtárban, amely a Jira, Bitbucket és Confluence termékek több verzióját érinti (kritikus, 9,8-as súlyossági pontszámmal).
A fenti négy probléma megoldása érdekében a felhasználóknak ajánlott frissíteniük a következő termékverziók egyikére:
-
- Confluence Data Center és Server 7.19.17 (LTS), 8.4.5 és 8.5.4 (LTS).
- Jira Service Management Cloud (Assets Discovery) 3.2.0 vagy újabb verzió, valamint Jira Service Management Data Center and Server (Assets Discovery) 6.2.0 vagy újabb verzió.
- Atlassian Companion App for MacOS 2.0.0 vagy újabb verziószámú alkalmazás.
- Automation for Jira (A4J) Marketplace App 9.0.2 és 8.2.4.
- Bitbucket Data Center and Server 7.21.16 (LTS), 8.8.7, 8.9.4 (LTS), 8.10.4, 8.11.3, 8.12.1, 8.13.0, 8.14.0, 8.15.0 (Data Center Only) és 8.16.0 (Data Center Only).
- Confluence Cloud Migration App (CCMA) 3.4.0
- Jira Core Data Center és Server, Jira Software Data Center és Server 9.11.2, 9.12.0 (LTS) és 9.4.14 (LTS)
- Jira Service Management adatközpont és szerver 5.11.2, 5.12.0 (LTS) és 5.4.14 (LTS)
Ha az Asset Discovery agent eltávolítása a CVE-2023-22523 patch alkalmazásának érdekében jelenleg nem lehetséges vagy el lett halasztva, az Atlassian ideiglenes enyhítést biztosít, amely az agent-tel való kommunikációra használt 51337-es port (alapértelmezés szerint) blokkolásából áll.
A CVE-2023-22522 esetében nincs megoldás a kárenyhítésre. Ha a rendszergazdák nem tudják azonnal alkalmazni a javítást, az Atlassian azt javasolja, hogy készítsenek biztonsági mentést az érintett példányokról, és kapcsolják ki azokat.
Ha a rendszergazdák nem tudják alkalmazni a CVE-2023-22524 javítást, a vállalat az Atlassian Companion App eltávolítását javasolja.
