Af Henrik Jensen, 07/12/23
Atlassian udgiver patches til fire kritiske sårbarheder som kan udnyttes til Remote Code Execution (RCE). Produkterne som er omfattet er Confluence-, Jira- og Bitbucket-servere, samt en app der understøtter firmaets systemer på MacOS.
Følgende sårbarheder bliver håndteret i de nyelige frigivne patches:
CVE-2023-22522 (CVE - CVE-2023-22522 (mitre.org)): Input injektionsfejl, som tillader godkendte brugere, inklusive dem med anonym adgang, at injicere usikkert input på et Confluence Data Center system (CVSSv3: 9.0). Fejlen påvirker alle Confluence Data Center- og Server-versioner efter 4.0.0 og op til 8.5.3.
CVE-2023-22523 (CVE - CVE-2023-22523 (mitre.org)): Bruger autentifikationsfejl i Jira Service Management Cloud, Server og Data Center (CVSSv3: 9.8). Fejlen kan påvirke følgende Asset Discovery-versioner: alt under 3.2.0 for Cloud og 6.2.0 for Data Center og Server.
CVE-2023-22524 (CVE - CVE-2023-22524 (mitre.org)): Omgåelse af blokeringsliste og macOS Gatekeeper på den installerede app til Confluence Server og Data Center. Sårbarheden er identificeret på alle versioner af appen før 2.0.0 (CVSSv3: 9.6).
CVE-2022-1471 (CVE - CVE-2022-1471 (mitre.org)): RCE i SnakeYAML-biblioteket, som påvirker flere versioner af Jira-, Bitbucket- og Confluence-produkter (CVSSv3: 9.8).
Til håndtering af ovenstående sårbarheder anbefales det, at brugere opdaterer til en af følgende produktversioner:
Confluence datacenter og server 7.19.17 (LTS), 8.4.5 og 8.5.4 (LTS)
Jira Service Management Cloud (Assets Discovery) 3.2.0 eller nyere, og Jira Service Management Data Center og Server (Assets Discovery) 6.2.0 eller nyere.
Atlassian Companion App til MacOS 2.0.0 eller nyere
Automatisering til Jira (A4J) Marketplace App 9.0.2 og 8.2.4
Bitbucket datacenter og server 7.21.16 (LTS), 8.8.7, 8.9.4 (LTS), 8.10.4, 8.11.3, 8.12.1, 8.13.0, 8.14.0, 8.15.0 (kun datacenter ), og 8.16.0 (kun datacenter)
Confluence Cloud Migration App (CCMA) 3.4.0
Jira Core Data Center og Server, Jira Software Data Center og Server 9.11.2, 9.12.0 (LTS) og 9.4.14 (LTS)
Jira Service Management Data Center og Server 5.11.2, 5.12.0 (LTS) og 5.4.14 (LTS)