Atlassian opravuje kritické zraniteľnosti viacerých produktov

Spoločnosť Atlassian vydala bezpečnostné aktualizácie na svoje produkty Confluence, Bamboo, Bitbucket, Crowd a Jira, ktoré opravujú 7 zraniteľností, z čoho 3 sú označené ako kritické. Kritické zraniteľnosti v Confluence a Crowd je možné zneužiť na vzdialené vykonanie kódu a obídenie mechanizmov autentifikácie. Ostatné zraniteľnosti je možné zneužiť na zneprístupnenie služby.

Zraniteľné systémy:

  • Bamboo Data Center a Server – verzie 9.1.2 až 9.1.3, 9.2.3 až 9.2.20 (LTS), 9.3.0 až 9.3.6, 9.4.0 až 9.4.4, 9.5.0 až 9.5.4, 9.6.0 až 9.6.9 (LTS), 10.0.0 až 10.0.3, 10.1.0 až 10.1.1, 10.2.0 (LTS)
  • Bitbucket Data Center a Server – verzie 8.6.4, 8.7.3 až 8.7.5, 8.8.2 až 8.8.7, 8.9.0 až 8.9.20 (LTS), 8.10.0 až 8.10.6, 8.11.0 až 8.11.6, 8.12.0 až 8.12.6, 8.13.0 až 8.13.6, 8.14.0 až 8.14.6, 8.15.0 až 8.15.5, 8.16.0 až 8.16.4, 8.17.0 až 8.17.2, 8.18.0 až 8.18.1, 8.19.0 až 8.19.10 (LTS), 9.0.0 až 9.0.1, 9.1.0 až 9.1.1, 9.2.0 až 9.2.1
  • Confluence Data Center a Server – verzie 7.19.6 až 7.19.30 (LTS), 8.1.1 až 8.1.4, 8.2.0 až 8.2.3, 8.3.0 až 8.3.4, 8.4.0 až 8.4.5, 8.5.0 až 8.5.18 (LTS), 8.6.0 až 8.6.2, 8.7.1 až 8.7.2, 8.8.0 až 8.8.1, 8.9.0 až 8.9.8, 9.0.1 až 9.0.3, 9.1.0 až 9.1.1, 9.2.0 (LTS)
  • Crowd Data Center a Server – verzie 5.3.0 až 5.3.6, 6.0.1 až 6.0.6, 6.1.0 až 6.1.3, 6.2.0
  • Jira Data Center a Server – verzie 9.4.4 až 9.4.27 (LTS), 9.7.0 až 9.7.2, 9.8.0 až 9.8.2, 9.9.0 až 9.9.2, 9.10.0 až 9.10.2, 9.11.0 až 9.11.3, 9.12.0 až 9.12.14 (LTS), 9.13.0 až 9.13.1, 9.14.0 až 9.14.1, 9.15.2, 9.16.1, 9.17.0 až 9.17.3, 10.0.0 až 10.0.1, 10.1.1

Opis činnosti:

Bamboo Data Center a Server

CVE-2024-7254 (CVSS skóre 8,7)

Pokiaľ projekt parsuje údaje z nedôveryhodných Protocol Buffers, môže dôjsť ku pretečeniu zásobníka pri niektorých atribútoch (groups, tags). Chyba sa nachádza v parseroch DiscardUnknownFieldsParser, Java Protobuf Lite a Protobuf. Úspešným zneužitím môže útočník spôsobiť nedostupnosť služby. Zraniteľnosť súvisí s komponentom com.google.protobuf:protobuf-java.

CVE-2024-47072 (CVSS skóre 7,5)

Ak nástroj XStream na serializáciu a deserializáciu objektov do a z XML používa BinaryStreamDriver, útočník môže podvrhnúť vstupný prúd dát, ktorý spôsobí pretečenie zásobníka a vyvolá nedostupnosť služby. Zraniteľnosť súvisí s komponentom com.thoughtworks.xstream:xstream.

Bitbucket Data Center a Server

CVE-2024-47561 (CVSS skóre 7,3)

Zraniteľnosť v komponente org.apache.avro:avro umožňuje neautentifikovanému útočníkovi pri parsovaní schém v Java SDK pre Apache Avro vzdialene vykonávať kód.

Confluence Data Center a Server

CVE-2024-50379 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza v komponente org.apache.tomcat:tomcat-catalina a súvisí s súbehom typu TOCTOU pri kompilácii JSP v Apache Tomcat. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu na case-insensitive súborových systémoch s povoleným zápisom pre štandardný servlet. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

CVE-2024-56337 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza v komponente org.apache.tomcat:tomcat-catalina a súvisí s súbehom typu TOCTOU v Apache Tomcat. Vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu na case-insensitive súborových systémoch s povoleným zápisom pre štandardný servlet. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Crowd Data Center a Server

CVE-2024-52316 (CVSS skóre 9,8)

Kritická zraniteľnosť sa nachádza v komponente org.apache.tomcat:tomcat-catalina a súvisí s neošetrenou chybou autentifikácie, ktorá môže nastať, keď Apache Tomcat používa komponent Jakarta Authentication ServerAuthContext. Vzdialený neautentifikovaný útočník by ju mohol zneužiť obídenie autentifikačného mechanizmu. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

CVE-2022-25927 (CVSS skóre 7,5)

Zraniteľnosť v komponente ua-parser.js umožňuje neautentifikovanému útočníkovi vyvolať nedostupnosť služby.

Crowd Data Center a Server obsahuje aj zraniteľnosti CVE-2024-50337 (CVSS skóre 9,8) a CVE-2024-50379 (CVSS skóre 9,8), popísané vyššie.

Jira Data Center a Server

V Jira Data Center a Server bola opravená zraniteľnosť CVE-2024-7254 (CVSS skóre 8,7), popísaná vyššie.

Možné škody:

  • Vzdialené vykonávanie kódu
  • Zneprístupnenie služby (DoS)
  • Neautorizovaný prístup do systému

Odporúčania:

Bezodkladná aktualizácia aspoň na:

  • Bamboo Data Center a Server – verzie 9.6.10 (LTS) a 10.2.1 (LTS) [iba DC], alebo 9.2.21 a 9.2.22 [DC aj Server]
  • Bitbucket Data Center a Server – verzie 8.19.11 až 8.19.15 (LTS), 9.4.3 (LTS) a 9.5.1 [iba DC], alebo 8.9.21 až 8.9.25 (LTS) [DC aj Server]
  • Confluence Data Center a Server – verzie 9.2.1 (LTS) a 9.3.1 [iba DC], alebo 8.5.19 (LTS) [DC aj Server]
  • Crowd Data Center a Server – verzie 6.0.7, 6.1.4 a 6.2.2 [iba DC]
  • Jira Data Center a Server – verzie 9.12.15 (LTS), 9.17.4, 9.17.5 a 10.1.2 [iba DC], alebo 9.4.28 až 9.4.30 (LTS) [DC aj Server]

Odkazy: