- 13,854
- 20
- 8 Ноя 2022
Все недостатки безопасности были оценены выше 9 баллов. Уверены, что исправление подождёт?
Компания Atlassian на днях опубликовала информационные бюллетени об устранении четырёх критических уязвимостей удалённого выполнения кода ( RCE ), затрагивающих серверы Confluence , Jira и Bitbucket , а также сопутствующее приложение для macOS .
Эти проблемы безопасности были оценены как критические, с баллом не менее 9.0 из 10 по внутренней шкале Atlassian. Однако компания рекомендует организациям оценить их актуальность самостоятельно в соответствии со своей IT-средой.
Ни одна из уязвимостей, по данным компании, пока не эксплуатируется злоумышленниками. Тем не менее, учитывая популярность продуктов Atlassian и их широкое использование в корпоративных средах, системным администраторам следует сделать скорейшее обновление систем своим главным приоритетом.
Уязвимости удалённого выполнения кода, устранённые Atlassian в этом месяце, получили следующие идентификаторы:
Для просмотра ссылки Войдиили Зарегистрируйся
Так, если невозможно временно удалить агенты Asset Discovery для устранения уязвимости CVE-2023-22523, Atlassian предлагает заблокировать порт, используемый для связи с агентами (по умолчанию — 51337). Для CVE-2023-22522 отсутствуют временные меры, поэтому если невозможно сразу применить патч, Atlassian рекомендует администраторам делать резервные копии затронутых экземпляров и отключать их. В случае с уязвимостью CVE-2023-22524 компания рекомендует банально удалить Atlassian Companion App, если установить обновление невозможно.
Компания Atlassian на днях опубликовала информационные бюллетени об устранении четырёх критических уязвимостей удалённого выполнения кода ( RCE ), затрагивающих серверы Confluence , Jira и Bitbucket , а также сопутствующее приложение для macOS .
Эти проблемы безопасности были оценены как критические, с баллом не менее 9.0 из 10 по внутренней шкале Atlassian. Однако компания рекомендует организациям оценить их актуальность самостоятельно в соответствии со своей IT-средой.
Ни одна из уязвимостей, по данным компании, пока не эксплуатируется злоумышленниками. Тем не менее, учитывая популярность продуктов Atlassian и их широкое использование в корпоративных средах, системным администраторам следует сделать скорейшее обновление систем своим главным приоритетом.
Уязвимости удалённого выполнения кода, устранённые Atlassian в этом месяце, получили следующие идентификаторы:
Для просмотра ссылки Войди
- Для просмотра ссылки Войди
или Зарегистрируйся : уязвимость инъекции шаблонов в Confluence, позволяющая аутентифицированным пользователям, включая анонимных, вводить небезопасные данные на страницу Confluence. Затрагивает все версии Confluence Data Center и Server после 4.0.0 и до 8.5.3 (оценка 9.0). - Для просмотра ссылки Войди
или Зарегистрируйся : привилегированное RCE в агенте обнаружения активов Jira Service Management Cloud, Server и Data Center. Уязвимы версии Asset Discovery ниже 3.2.0 для Cloud и 6.2.0 для Data Center и Server (оценка 9.8). - Для просмотра ссылки Войди
или Зарегистрируйся : обход блок-листа и защиты Gatekeeper macOS в приложении-компаньоне для Confluence Server и Data Center для macOS. Затрагивает все версии приложения до 2.0.0 (оценка 9.6). - Для просмотра ссылки Войди
или Зарегистрируйся : RCE в библиотеке SnakeYAML, затрагивающая множество версий продуктов Jira, Bitbucket и Confluence (оценка 9.8).
Так, если невозможно временно удалить агенты Asset Discovery для устранения уязвимости CVE-2023-22523, Atlassian предлагает заблокировать порт, используемый для связи с агентами (по умолчанию — 51337). Для CVE-2023-22522 отсутствуют временные меры, поэтому если невозможно сразу применить патч, Atlassian рекомендует администраторам делать резервные копии затронутых экземпляров и отключать их. В случае с уязвимостью CVE-2023-22524 компания рекомендует банально удалить Atlassian Companion App, если установить обновление невозможно.
- Источник новости
- www.securitylab.ru
