Kritická zraniteľnosť v serveroch Atlassian
Atlassian vydal opravy pre viac ako dve desiatky bezpečnostných chýb vrátane kritickej chyby ovplyvňujúcej Bamboo Data Center a Server. Úspešné zneužitie umožňuje injektovanie škodlivých príkazov bez toho, aby bola potrebná interakcia používateľa.
Zraniteľné systémy:
- Bamboo Data Center a Server 8.2.0-8.2.9, 9.0.0-9.0.4, 9.1.0-9.1.3, 9.2.0-9.2.11 (LTS), 9.3.0-9.3.6, 9.4.0-9.4.3, 9.5.0-9.5.1 a staršie
Opis činnosti:
CVE-2024-1597 (CVSS skóre 10)
Kritická zraniteľnosť CVE-2024-1597 sa týka PostgreSQL JDBC Drivera a ovplyvňuje Bamboo Data Center a Server. Útočník môže vytvoriť škodlivý dotaz pomocou manipulácie číselných a reťazcových znakov v dotaze. Úspešné zneužitie umožňuje neautentifikovanému útočníkovi injektovať škodlivé príkazy zneužitím parametra PreferQueryMode=SIMPLE. To vedie k obchádzaniu bezpečnostných mechanizmov parametrizovaných dotazov a umožňuje tak útok typu SQL Injection.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Injektovanie kódu
- Obchádzanie zabezpečenia
Odporúčania:
Bezodkladná aktualizácia na najnovšiu verziu, ak tak nemôžete urobiť, aktualizujte svoju inštanciu na jednu z uvedených podporovaných pevných verzií:
- 9.5.0 – 9.5.1 na verziu: 9.6.0 (LTS) alebo 9.5.2
- 9.4.0 – 9.4.3 na verziu: 9.6.0 (LTS), 9.5.2 alebo 9.4.4
- 9.3.0 – 9.3.6 na verziu: 9.6.0 (LTS), 9.5.2 alebo 9.4.4
- 9.2.0 – 9.2.11 (LTS) na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)
- 9.1.0 – 9.1.3 na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)
- 9.0.0 – 9.0.4 na verziu: 9.6.0 (LTS), 9.5.2,9.4.4 alebo 9.2.12 (LTS)
- 8.2.0 – 8.2.9 na verziu: 9.6.0 (LTS), 9.5.2, 9.4.4 alebo 9.2.12 (LTS)
Odkazy:
https://thehackernews.com/2024/03/atlassian-releases-fixes-for-over-2.html
https://nvd.nist.gov/vuln/detail/CVE-2024-1597
https://jira.atlassian.com/browse/BAM-25716
https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html