Kriittisiä haavoittuvuuksia Atlassianin tuotteissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittisiä haavoittuvuuksia Atlassianin tuotteissa

16. tammikuuta 2024 klo 12.25

Atlassianin Bitbucket-, Confluence-, Jira-, Bamboo- ja Crowd-tuotteissa on useita haavoittuvuuksia, joista vakavimmat mahdollistavat hyökkääjälle mielivaltaisen koodin suorittamisen (RCE). Valmistaja kehottaa ryhtymään välittömästi toimenpiteisiin haavoittuvuuksien johdosta. Haavoittuviin ohjelmistoihin on olemassa ongelman korjaavat versiot. Haavoittuvuudet eivät koske Atlassianin itse pilvipalveluna tuottamia palveluita.

Atlassian julkaisi 16.1.2024 useita päivityksiä haavoittuvuuksiin. Haavoittuvuudet ovat CVSS3-asteikolla vakavuudeltaan 7.1-10.0. 

Kriittisin haavoittuvuus CVE-2023-22527 Atlassianin Confluencessa oli havaittu jo joulukuussa. Atlassianin tänään julkaisemien tietojen mukaan haavoittuvuus ei vaikuta Confluence Data Centerin ja Serverin uusimpiin tuettuihin versioihin, sillä haavoittuvuus on jo korjattu säännöllisissä päivityksissä. Mikäli käytössä ei ole tuettuja versioita, on tarpeen siirtyä näihin, sillä esimerkiksi Confluenceen on tarjolla kriittisiä päivityksiä kaikille tuetuille versioille. 

Confluencen lisäksi Atlassian julkaisi useita haavoittuvuuksia Bitbucket-, Jira-, Bamboo- ja Crowd-tuotteissaan. Atlassian suosittelee päivittämään uusimman version suojaamaan myös näitä tuotteita. 

Haavoittuvuudet koskevat organisaatioita ja palveluntarjoajia, joilla kyseistä tuotetta on käytössä tai ylläpidossa.

Mikäli havaitset, että haavoittuvuutta on hyväksikäytetty tai yritetty hyväksikäyttää, ilmoita siitä meille lomakkeella tai sähköpostitse cert@traficom.fi.

Haavoittuvuuden kohde

Haavoittuvuus vaikuttaa päivittämättömiin ohjelmistoversioihin:

  • Confluence Data Center- ja Server-versiot
  • Jira Software Data Center- ja Server-versiot
  • Crowd Data Center- ja Server-versiot
  • Bitbucket Data Center- ja Server-versiot
  • Bamboo Data Center- ja Server-versiot

Tarkista haavoittuvat versiot Atlassianin tiedotteesta

Mistä on kysymys?

Atlassian suosittelee päivittämään haavoittuvat ohjelmistoversiot välittömästi.

Atlassianin tiedote

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Ilman käyttäjän toimia

Ilman käyttäjän toimia tapahtuva hyökkäys kohdistuu suoraan haavoittuvuuteen ilman että järjestelmän käyttäjältä vaaditaan mitään toimia hyökkäyksen onnistumiseksi. Käyttäjän ei esimerkiksi tarvitse selailla www-sivuja tai käynnistää ohjelmaa tietokoneessa, vaan hyökkäys onnistuu ilman käyttäjän apua.

Ilman kirjautumista

Hyökkäys ei vaadi kohteena olevaan järjestelmään kirjautumista. Vastakohtana ovat sellaiset hyökkäykset, jotka vaativat käyttäjätunnuksen ja salasanan käyttöä ja esimerkiksi komentojen suorittamista järjestelmään kirjautuneena.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.