Atlassian

Følgende sårbarheder bliver håndteret i de nyelige frigivne patches:

CVE-2023-22522 (CVE - CVE-2023-22522 (mitre.org)): Input injektionsfejl, som tillader godkendte brugere, inklusive dem med anonym adgang, at injicere usikkert input på et Confluence Data Center system (CVSSv3: 9.0). Fejlen påvirker alle Confluence Data Center- og Server-versioner efter 4.0.0 og op til 8.5.3.

Atlassian har udsendt rettelser til adressering af en kritisk sikkerhedsfejl i Jira Service Management Server og Datacenter. Sårbarheden kan misbruges af en angriber til at få uautoriseret adgang. Det skriver The Hacker News.

Sårbarheden har id’et CVE-2023-22501 og en høj CVSS-score på 9,4. Den beskrives en sårbarhed, der gør det muligt for en angriber at efterligne en anden bruger og få adgang til en Jira Service Management-instans under visse omstændigheder. Angrebskompleksiteten er lav, hvorfor CVSS-scoren er høj.

Atlassian har rettet kritiske sårbarheder i sine Crowd- og Bitbucket-produkter.

Det skriver Security Week.

I Bitbucket-hostingtjenesten drejer det sig om CVE-2022-43781, som er en kritisk command injection-sårbarhed, der påvirker Bitbucket Server og Data Center version 7 og i nogle tilfælde version 8. En angriber, som har tilladelse til at kontrollere deres brugernavn kan udnytte dette problem til at eksekvere kode på systemet. Der er blevet udsendt opdateringer til både BitBucket 7 og 8 til håndtering af problemet. CVSS-scoren er på 9,8.

Atlassians sikkerhedsresponsteam advarer en kritisk command injection-fejl i deres Bitbucket Server og Data Center-produkt. Det skriver Security Week.

Sårbarheden har en CVSS-score på 9,9 ud af 10 og kan bruges til et angreb med ekstern afvikling af kode.

De "hardcoded" legitimationsoplysninger er tilføjet efter installation af Questions for Confluence-appen (version 2.7.34, 2.7.35 og 3.0.2) på en "disabled system bruger", som oprindeligt var tiltænkt at administratorer ved migreringen af ​​data fra appen til Confluence Cloud.

Disse systemer og versioner har sårbarheden:

• Questions for Confluence 2.7.x version 2.7.34 og 2.7.35
• Questions for Confluence 3.0.x version 3.0.2

Man kan se om man har en sårbar version ved at tjekke for en aktiv brugerkonto med følgende oplysninger:

Atlassian informerede fredag ​​sine kunder om, at der er udgivet patch til den kritiske Confluence Server-sårbarhed, der er blevet udnyttet i angreb. Det skriver Security Week på baggrund af en opdatering af Atlassians advisory fredag kl. 16 PDT-tid, dvs. kl. 1 lørdag morgen dansk tid.

Atlassian har udsendt en advarsel om en kritisk sårbarhed i Jira-softwaren. En sårbarhed, der kan bruges af en ekstern, uautoriseret angriber til at omgå autentifikationen. Det skriver The Hacker News.

Jira er et værktøj til udvikling og udgivelse af software, som gør det muligt at dele opgaverne i et team, så alle kan se, hvad der foregår, hvad der er sket og hvor i en udviklingsproces, et projekt befinder sig på. 

Det australske software-hus, Atlassian, har frigivet en sikkerhedsopdatering, der adresserer en sårbarhed i Jira Server og Jira Data Center.

En ekstern angriber kan potentielt udnytte sårbarheden til at overtage kontrollen med sårbare systemer.

Anbefaling:

Opdater altid dine produkter med de nyeste rettelser fra producenten.

Ifølge websiden ZDNet har en stribe store virksomheder og en amerikansk myndighed været berørt af et problem, der blev dokumenteret sidste år.

Det handler om en sårbarhed, der findes i værktøjerne fra Atlassian og som kan lukke døren op til netværket for uvedkommende.

Problemet skyldes en sårbar proxy, som kan udnyttes til at udføre cross-site scripting-angreb (XSS) og server-side request forgery (SSRF). Potentielt kan der skabes adgang til følsomme data fra det interne netværk.

Sårbarheden ligger i deserialization-funktionerne, der omdanner en strøm af bytes til et objekt. Flere programmer har tidligere haft sårbarheder i behandlingen af deserialization.

En sikkerhedsforsker har fundet tre sårbarheder i Java-implementeringer af koden, der udfører deserialization på objekter af typen Action Message Format. Det er et format, Adobe anvender i Flash Player.

Blandt de sårbare produkter er Adobe Flex BlazeDS, som Adobe ikke længere vedligeholder. Brugere anbefales at bruge den open source-version, som Apache vedligeholder.