Vakavia haavoittuvuuksia Atlassianin tuotteissa
Haavoittuvuus29/2023CVSS 9.8useita haavoittuvuuksia (Ulkoinen linkki)
Atlassianin Bitbucket, Confluence ja Jira-tuotteissa on useita haavoittuvuuksia, jotka mahdollistavat hyökkääjälle mielivaltaisen koodin suorittamisen (RCE). Valmistaja kehottaa ryhtymään välittömästi toimenpiteisiin haavoittuvuuksien johdosta. Haavoittuviin ohjelmistoihin on olemassa ongelman korjaavat versiot. Haavoittuvuudet eivät koske Atlassianin itse pilvipalveluna tuottamia palveluita.
Tiedotetta koskevat haavoittuvuudet:
CVE‑2022‑1471 (Ulkoinen linkki) – SnakeYAML library remote code execution (RCE) vulnerability: valmistajan tiedote (Ulkoinen linkki)
CVE‑2023‑22522 (Ulkoinen linkki) – RCE vulnerability in Confluence Data Center and Server: valmistajan tiedote (Ulkoinen linkki)
CVE‑2023‑22523 (Ulkoinen linkki) – RCE vulnerability in Assets Discovery app: valmistajan tiedote (Ulkoinen linkki)
CVE‑2023‑22524 (Ulkoinen linkki) – RCE vulnerability in Atlassian Companion App for MacOS: valmistajan tiedote (Ulkoinen linkki)
Haavoittuvuuksien vakavuudet vaihtelevat CVSS3-asteikolla välillä 9.0–9.8.
Haavoittuvuudet koskevat organisaatioita, joilla kyseisiä tuotteita on käytössä.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
Bitbucket Data Center ja Server
CVE‑2022‑1471 – SnakeYAML library remote code execution (RCE) vulnerability impacts multiple products
Confluence Data Center ja Server
CVE‑2023‑22522 – RCE vulnerability in Confluence Data Center and Server
CVE‑2022‑1471 – SnakeYAML library RCE vulnerability impacts multiple products
CVE‑2023‑22524 – RCE vulnerability in Atlassian Companion App for MacOS
Jira Service Management Cloud, Data Center ja Server
CVE‑2023‑22523 – RCE vulnerability in Assets Discovery app
CVE‑2022‑1471 – SnakeYAML library RCE vulnerability impacts multiple products
Jira Software sekä Jira Core Data Center ja Server, Automation for Jira apps
CVE-2022-1471 – SnakeYAML library RCE vulnerability impacts multiple products
Mistä on kysymys?
Asenna haavoittuvan ohjelmiston päivitetty versio tai poista palvelu julkisesta internetistä, kunnes voit asentaa päivityksen. Toimenpiteet on syytä suorittaa välittömästi.
CVE‑2022‑1471 – SnakeYAML library remote code execution (RCE) vulnerability impacts multiple products
Koskee useaa Atlassianin tuotetta. Tarkasta versiotiedot valmistajan tiedotteesta (Ulkoinen linkki).
- Automation for Jira app (including Server Lite edition)
- Bitbucket Data Center, Server
- Confluence Data Center, Server
- Confluence Cloud Migration App
- Jira Core Data Center, Server
- Jira Service Management Data Center, Server
- Jira Software Data Center, Server
CVE‑2023‑22522 – RCE vulnerability in Confluence Data Center and Server
Koskee Confluencea. Korjatut versiot:
- Confluence Data Center ja Server: 7.19.17 (LTS), 8.4.5, 8.5.4 (LTS)
- Confluence Data Center: 8.6.2 ja myöhemmät, 8.7.1 ja myöhemmät
CVE‑2023‑22523 – RCE vulnerability in Assets Discovery app
Vain Assets Discovery-lisäosa on haavoittuva. Korjatut versiot:
- Assets Discovery 3.2.0-cloud tai myöhempi
- Assets Discovery 6.2.0 tai myöhempi
CVE‑2023‑22524 – RCE vulnerability in Atlassian Companion App for MacOS
Kyseessä on Applen MacOS-käyttöjärjestelmälle tarkoitettu apuohjelmisto. Windows-versio ei ole haavoittuva.
- Päivitä Atlassian Companion App for MacOS versioon 2.0.0 tai myöhempään
Mitä voin tehdä?
Lisätty CVSS-vakavuustieto ja linkit CVE-kantaan.
Lisätty tieto keitä haavoittuvuudet koskevat