Vakavia haavoittuvuuksia Atlassianin tuotteissa

Atlassianin Bitbucket, Confluence ja Jira-tuotteissa on useita haavoittuvuuksia, jotka mahdollistavat hyökkääjälle mielivaltaisen koodin suorittamisen (RCE). Valmistaja kehottaa ryhtymään välittömästi toimenpiteisiin haavoittuvuuksien johdosta. Haavoittuviin ohjelmistoihin on olemassa ongelman korjaavat versiot. Haavoittuvuudet eivät koske Atlassianin itse pilvipalveluna tuottamia palveluita.

Tiedotetta koskevat haavoittuvuudet:

CVE‑2022‑1471 – SnakeYAML library remote code execution (RCE) vulnerability: valmistajan tiedote
CVE‑2023‑22522 – RCE vulnerability in Confluence Data Center and Server: valmistajan tiedote
CVE‑2023‑22523 – RCE vulnerability in Assets Discovery app: valmistajan tiedote
CVE‑2023‑22524 – RCE vulnerability in Atlassian Companion App for MacOS: valmistajan tiedote

Haavoittuvuuksien vakavuudet vaihtelevat CVSS3-asteikolla välillä 9.0–9.8.

Haavoittuvuudet koskevat organisaatioita, joilla kyseisiä tuotteita on käytössä.

Haavoittuvuuden kohde

Bitbucket Data Center ja Server

CVE‑2022‑1471 – SnakeYAML library remote code execution (RCE) vulnerability impacts multiple products

Confluence Data Center ja Server

CVE‑2023‑22522 – RCE vulnerability in Confluence Data Center and Server
CVE‑2022‑1471 – SnakeYAML library RCE vulnerability impacts multiple products
CVE‑2023‑22524 – RCE vulnerability in Atlassian Companion App for MacOS

Jira Service Management Cloud, Data Center ja Server

CVE‑2023‑22523 – RCE vulnerability in Assets Discovery app
CVE‑2022‑1471 – SnakeYAML library RCE vulnerability impacts multiple products

Jira Software sekä Jira Core Data Center ja Server, Automation for Jira apps

CVE-2022-1471 – SnakeYAML library RCE vulnerability impacts multiple products

Mistä on kysymys?

Asenna haavoittuvan ohjelmiston päivitetty versio tai poista palvelu julkisesta internetistä, kunnes voit asentaa päivityksen. Toimenpiteet on syytä suorittaa välittömästi.

CVE‑2022‑1471 – SnakeYAML library remote code execution (RCE) vulnerability impacts multiple products

Koskee useaa Atlassianin tuotetta. Tarkasta versiotiedot valmistajan tiedotteesta.

Automation for Jira app (including Server Lite edition)
Bitbucket Data Center, Server
Confluence Data Center, Server
Confluence Cloud Migration App
Jira Core Data Center, Server
Jira Service Management Data Center, Server
Jira Software Data Center, Server

CVE‑2023‑22522 – RCE vulnerability in Confluence Data Center and Server

Koskee Confluencea. Korjatut versiot:

Confluence Data Center ja Server: 7.19.17 (LTS), 8.4.5, 8.5.4 (LTS)
Confluence Data Center: 8.6.2 ja myöhemmät, 8.7.1 ja myöhemmät

CVE‑2023‑22523 – RCE vulnerability in Assets Discovery app

Vain Assets Discovery-lisäosa on haavoittuva. Korjatut versiot:

Assets Discovery 3.2.0-cloud tai myöhempi
Assets Discovery 6.2.0 tai myöhempi

CVE‑2023‑22524 – RCE vulnerability in Atlassian Companion App for MacOS

Kyseessä on Applen MacOS-käyttöjärjestelmälle tarkoitettu apuohjelmisto. Windows-versio ei ole haavoittuva.

Päivitä Atlassian Companion App for MacOS versioon 2.0.0 tai myöhempään

Mitä voin tehdä?

Valmistajan yhteenveto: https://confluence.atlassian.com/security/december-2023-security-advisories-overview-1318892103.html

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.