Atlassian 修复多款产品中的多个严重RCE漏洞
2023-12-7 17:33:11 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Atlassian 公司发布安全公告,修复四个严重的远程代码执行 (RCE)漏洞,它们影响 Confluence、Jira 和 Bitbucket 服务器及 macOS 版本的Companion app。

所有漏洞均为严重级别漏洞,根据 Atlassian 公司的内部评估CVSS评分至少都是9分。不过,Atlassian 公司建议企业根据自身的IT环境评估修复方案的适用性。

Atlassian 公司指出,这些公司均未遭在野利用。然而,鉴于 Atlassian 公司产品的热门程度以及在企业环境中大量部署,系统管理员应当优先应用可用的更新。该公司本月修复的四个 RCE 漏洞如下:

  • CVE-2023-22522:模板注入漏洞可导致认证用户,包括具有匿名访问权限的用户,将不安全的输入注入 Confluence 页面(严重级别,严重性评分9分)。该漏洞影响所有4.0.0之后至8.5.3的 Confluence Data Center 和 Server 版本。

  • CVE-2023-22523:Assets Discovery 代理中存在提权 RCE 漏洞,影响 Jira Service Management Cloud、Server 和 Data Center(严重级别,严重性为9.8)。易受攻击的 Asset Discovery 版本是Cloud 3.2.0以下和 Data Center and Server 6.2.0版本。

  • CVE-2023-22524:绕过拦截列表和 Confluence Server and Data Center 的macOS 版 Companion app 上的 macOS Gatekeeper,影响所有早于2.0.0版本之前的 app(严重级别,严重性评分9.6)。

  • CVE-2022-1471:位于 SnakeYAML 库中的RCE漏洞,影响 Jira、Bitbucket 和 Confluence 产品的多个版本(严重级别,严重性评分9.8)。

要修复以上所有四个漏洞,建议用户更新至如下任一产品版本:

  • Confluence Data Center and Server 7.19.17 (LTS)、8.4.5和8.5.4 (LTS)。

  • Jira Service Management Cloud (Assets Discovery) 3.2.0 或后续版本以及Jira Service Management Data Center and Server (Assets Discovery) 6.2.0 或后续版本。

  • Atlassian Companion App for MacOS 2.0.0 或后续版本。

  • Automation for Jira (A4J) Marketplace App 9.0.2 和 8.2.4。

  • Bitbucket Data Center and Server 7.21.16 (LTS)、8.8.7、8.9.4 (LTS)、 8.10.4、8.11.3、8.12.1、8.13.0、8.14.0、8.15.0 (Data Center Only)和 8.16.0 (Data Center Only)。

  • Confluence Cloud Migration App (CCMA) 3.4.0。

  • Jira Core Data Center and Server、Jira Software Data Center and Server 9.11.2、9.12.0 (LTS) 和9.4.14 (LTS)。

  • Jira Service Management Data Center and Server 5.11.2, 5.12.0 (LTS) 和5.4.14 (LTS)。

如目前无法卸载 Asset Discovery 代理应用 CVE-2023-22523的补丁或必须延迟,则Atlassian 公司提供了一项临时的缓解措施,可拦截用于与代理通信的端口,该端口默认为51337。

对于CVE-2023-22522而言,不存在缓解措施。如管理员无法立即应用补丁,则 Atlassian 公司建议管理员备份受影响的实例并将其下线。如管理员无法应用CVE-2023-22524的补丁,则公司建议卸载 Atlassian Companion App。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Atlassian 提醒注意严重的 Confluence 漏洞,可导致数据丢失

Atlassian 紧急修复已遭利用的 Confluence 0day

Atlassian 安全更新修复多个高危漏洞

第三方app受陷,Atlassian 数据被盗

Atlassian 修复Crowd 和 Bitbucket 产品中的严重漏洞

原文链接
https://www.bleepingcomputer.com/news/security/atlassian-patches-critical-rce-flaws-across-multiple-products/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518302&idx=1&sn=9ede9c29a5c7c063571222672e754926&chksm=ea94b934dde330222c90b770d277247b3ad535c2b85b8082228c17630922ff9ea123ab19691f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh