聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
所有漏洞均为严重级别漏洞,根据 Atlassian 公司的内部评估CVSS评分至少都是9分。不过,Atlassian 公司建议企业根据自身的IT环境评估修复方案的适用性。
Atlassian 公司指出,这些公司均未遭在野利用。然而,鉴于 Atlassian 公司产品的热门程度以及在企业环境中大量部署,系统管理员应当优先应用可用的更新。该公司本月修复的四个 RCE 漏洞如下:
CVE-2023-22522:模板注入漏洞可导致认证用户,包括具有匿名访问权限的用户,将不安全的输入注入 Confluence 页面(严重级别,严重性评分9分)。该漏洞影响所有4.0.0之后至8.5.3的 Confluence Data Center 和 Server 版本。
CVE-2023-22523:Assets Discovery 代理中存在提权 RCE 漏洞,影响 Jira Service Management Cloud、Server 和 Data Center(严重级别,严重性为9.8)。易受攻击的 Asset Discovery 版本是Cloud 3.2.0以下和 Data Center and Server 6.2.0版本。
CVE-2023-22524:绕过拦截列表和 Confluence Server and Data Center 的macOS 版 Companion app 上的 macOS Gatekeeper,影响所有早于2.0.0版本之前的 app(严重级别,严重性评分9.6)。
CVE-2022-1471:位于 SnakeYAML 库中的RCE漏洞,影响 Jira、Bitbucket 和 Confluence 产品的多个版本(严重级别,严重性评分9.8)。
要修复以上所有四个漏洞,建议用户更新至如下任一产品版本:
Confluence Data Center and Server 7.19.17 (LTS)、8.4.5和8.5.4 (LTS)。
Jira Service Management Cloud (Assets Discovery) 3.2.0 或后续版本以及Jira Service Management Data Center and Server (Assets Discovery) 6.2.0 或后续版本。
Atlassian Companion App for MacOS 2.0.0 或后续版本。
Automation for Jira (A4J) Marketplace App 9.0.2 和 8.2.4。
Bitbucket Data Center and Server 7.21.16 (LTS)、8.8.7、8.9.4 (LTS)、 8.10.4、8.11.3、8.12.1、8.13.0、8.14.0、8.15.0 (Data Center Only)和 8.16.0 (Data Center Only)。
Confluence Cloud Migration App (CCMA) 3.4.0。
Jira Core Data Center and Server、Jira Software Data Center and Server 9.11.2、9.12.0 (LTS) 和9.4.14 (LTS)。
Jira Service Management Data Center and Server 5.11.2, 5.12.0 (LTS) 和5.4.14 (LTS)。
如目前无法卸载 Asset Discovery 代理应用 CVE-2023-22523的补丁或必须延迟,则Atlassian 公司提供了一项临时的缓解措施,可拦截用于与代理通信的端口,该端口默认为51337。
对于CVE-2023-22522而言,不存在缓解措施。如管理员无法立即应用补丁,则 Atlassian 公司建议管理员备份受影响的实例并将其下线。如管理员无法应用CVE-2023-22524的补丁,则公司建议卸载 Atlassian Companion App。
Atlassian 提醒注意严重的 Confluence 漏洞,可导致数据丢失
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~