Atlassian Ekim Güvenlik Bültenini yayınladı. Şirket, Bitbucket, Confluence ve Jira'daki altı güvenlik açığını anlatıyor. Güvenlik açıklarını gideren güncellenmiş yazılım mevcuttur.
Duyuru
Güvenlik duyurusunda Atlassian geliştiricileri, Bitbucket Veri Merkezi ve Sunucusu'nda bulunan Java Runtime Environment'ın (JRE), kimliği doğrulanmamış saldırganların izinsiz olarak verileri okumasına, silmesine, yazmasına veya değiştirmesine izin verdiğini tartışıyor (CVE-2024-21147, CVSS) 7.4“Risk”yüksek“). Bitbucket Datacenter 9.2.1 ve 8.19.19 (LTS), Bitbucket Data Center ve Server 8.9.20 (LTS) ve elbette daha yeni sürümler gibi hataları düzeltir.
Atlassian: Daha fazla güvenlik açığı
Ancak Confluence Data Center ve Server'da arşivlenmiş bir siteler arası komut dosyası çalıştırma güvenlik açığı bulunmaktadır (CVE-2024-4367, CVSS 8.1, yüksek), bir düzenli ifade hizmet reddi (ReDoS) güvenlik açığı (CVE-2022-31129, CVSS) 7.5, yüksek), bir dizin geçiş güvenlik açığı (CVE-2022-24785, CVSS) 7.5, yüksek) ve hizmet reddi güvenlik açığı (CVE-2024-29131, CVSS) 7.3, yüksek) yazılımın güvenliği. Confluence Data Center sürüm 9.0.0 veya 8.9.3 ila 8.9.7 ve Confluence Data Center ve Server 8.5.11 ila 8.5.16'nın yanı sıra 7.19.26 ila 7.19.28 (LTS) sürümlerinden daha yeni ve sonraki bağlantı güvenlik kusurları.
Ancak Jira Veri Merkezi ve Sunucusunda ağ saldırganları, önceden kimlik doğrulama olmadan yığın tabanlı arabellek taşmasını tetikleyebilir (CVE-2024-7254, CVSS) 7.5, yüksek). Atlassian geliştiricileri bunun yalnızca hizmetin kullanılabilirliğini etkilediğini açıklıyor. Görünüşe göre bu bir DoS güvenlik açığıdır; açıklamaya göre, arabellek taşmalarında sıklıkla olduğu gibi, enjekte edilen kodun yürütülmesine izin vermiyor gibi görünüyor. Jira Veri Merkezi 10.1.1 ve 5.17.4'ün yanı sıra Jira Veri Merkezi ve Sunucu 5.12.14 (LTS), güvenlikle ilgili kusuru giderir.
Güncellenen yazılım Atlassian indirme portalından indirilebilir. BT yöneticileri güncellemeleri hızla uygulamalıdır.
Atlassian'ın Eylül ayı güncelleme özeti, Bamboo, Bitbucket, Confluence ve Crowd Data Center ve Server için yamaları içeriyordu. Tüm güvenlik açıkları Atlassian geliştiricileri tarafından yüksek riskli olarak sınıflandırıldı.
(Bilmiyorum)
Duyuru
Güvenlik duyurusunda Atlassian geliştiricileri, Bitbucket Veri Merkezi ve Sunucusu'nda bulunan Java Runtime Environment'ın (JRE), kimliği doğrulanmamış saldırganların izinsiz olarak verileri okumasına, silmesine, yazmasına veya değiştirmesine izin verdiğini tartışıyor (CVE-2024-21147, CVSS) 7.4“Risk”yüksek“). Bitbucket Datacenter 9.2.1 ve 8.19.19 (LTS), Bitbucket Data Center ve Server 8.9.20 (LTS) ve elbette daha yeni sürümler gibi hataları düzeltir.
Atlassian: Daha fazla güvenlik açığı
Ancak Confluence Data Center ve Server'da arşivlenmiş bir siteler arası komut dosyası çalıştırma güvenlik açığı bulunmaktadır (CVE-2024-4367, CVSS 8.1, yüksek), bir düzenli ifade hizmet reddi (ReDoS) güvenlik açığı (CVE-2022-31129, CVSS) 7.5, yüksek), bir dizin geçiş güvenlik açığı (CVE-2022-24785, CVSS) 7.5, yüksek) ve hizmet reddi güvenlik açığı (CVE-2024-29131, CVSS) 7.3, yüksek) yazılımın güvenliği. Confluence Data Center sürüm 9.0.0 veya 8.9.3 ila 8.9.7 ve Confluence Data Center ve Server 8.5.11 ila 8.5.16'nın yanı sıra 7.19.26 ila 7.19.28 (LTS) sürümlerinden daha yeni ve sonraki bağlantı güvenlik kusurları.
Ancak Jira Veri Merkezi ve Sunucusunda ağ saldırganları, önceden kimlik doğrulama olmadan yığın tabanlı arabellek taşmasını tetikleyebilir (CVE-2024-7254, CVSS) 7.5, yüksek). Atlassian geliştiricileri bunun yalnızca hizmetin kullanılabilirliğini etkilediğini açıklıyor. Görünüşe göre bu bir DoS güvenlik açığıdır; açıklamaya göre, arabellek taşmalarında sıklıkla olduğu gibi, enjekte edilen kodun yürütülmesine izin vermiyor gibi görünüyor. Jira Veri Merkezi 10.1.1 ve 5.17.4'ün yanı sıra Jira Veri Merkezi ve Sunucu 5.12.14 (LTS), güvenlikle ilgili kusuru giderir.
Güncellenen yazılım Atlassian indirme portalından indirilebilir. BT yöneticileri güncellemeleri hızla uygulamalıdır.
Atlassian'ın Eylül ayı güncelleme özeti, Bamboo, Bitbucket, Confluence ve Crowd Data Center ve Server için yamaları içeriyordu. Tüm güvenlik açıkları Atlassian geliştiricileri tarafından yüksek riskli olarak sınıflandırıldı.
(Bilmiyorum)