Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Kriittisiä haavoittuvuuksia Atlassianin tuotteissa

Haavoittuvuus3/2024CVSS 10CVE-2023-22527 (Ulkoinen linkki)

Julkaistu

Atlassianin Bitbucket-, Confluence-, Jira-, Bamboo- ja Crowd-tuotteissa on useita haavoittuvuuksia, joista vakavimmat mahdollistavat hyökkääjälle mielivaltaisen koodin suorittamisen (RCE). Valmistaja kehottaa ryhtymään välittömästi toimenpiteisiin haavoittuvuuksien johdosta. Haavoittuviin ohjelmistoihin on olemassa ongelman korjaavat versiot. Haavoittuvuudet eivät koske Atlassianin itse pilvipalveluna tuottamia palveluita.

Atlassian julkaisi 16.1.2024 useita päivityksiä haavoittuvuuksiin. Haavoittuvuudet ovat CVSS3-asteikolla vakavuudeltaan 7.1-10.0. 

Kriittisin haavoittuvuus CVE-2023-22527 (Ulkoinen linkki) Atlassianin Confluencessa oli havaittu jo joulukuussa. Atlassianin tänään julkaisemien tietojen (Ulkoinen linkki) mukaan haavoittuvuus ei vaikuta Confluence Data Centerin ja Serverin uusimpiin tuettuihin versioihin, sillä haavoittuvuus on jo korjattu säännöllisissä päivityksissä. Mikäli käytössä ei ole tuettuja versioita, on tarpeen siirtyä näihin, sillä esimerkiksi Confluenceen on tarjolla kriittisiä päivityksiä kaikille tuetuille versioille. 

Confluencen lisäksi Atlassian julkaisi useita haavoittuvuuksia (Ulkoinen linkki) Bitbucket-, Jira-, Bamboo- ja Crowd-tuotteissaan. Atlassian suosittelee päivittämään uusimman version suojaamaan myös näitä tuotteita. 

Haavoittuvuudet koskevat organisaatioita ja palveluntarjoajia, joilla kyseistä tuotetta on käytössä tai ylläpidossa.

Mikäli havaitset, että haavoittuvuutta on hyväksikäytetty tai yritetty hyväksikäyttää, ilmoita siitä meille lomakkeella tai sähköpostitse cert@traficom.fi.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Palvelunestohyökkäys
  • Komentojen mielivaltainen suorittaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Haavoittuvuus vaikuttaa päivittämättömiin ohjelmistoversioihin:

  • Confluence Data Center- ja Server-versiot
  • Jira Software Data Center- ja Server-versiot
  • Crowd Data Center- ja Server-versiot
  • Bitbucket Data Center- ja Server-versiot
  • Bamboo Data Center- ja Server-versiot

Tarkista haavoittuvat versiot Atlassianin tiedotteesta (Ulkoinen linkki)

Mistä on kysymys?

Atlassian suosittelee päivittämään haavoittuvat ohjelmistoversiot välittömästi.

Atlassianin tiedote (Ulkoinen linkki)