Zraniteľnosti v serveroch Atlassian

Spoločnosť Atlassian vydala bezpečnostné aktualizácie svojich produktov Bamboo Data Center a Server, Confluence Data Center a Server, Jira Data Center and Server a Jira Service Management Data Center a Server, ktoré opravujú 30 zraniteľností. Najzávažnejšie zraniteľnosti nachádzajúce sa v Bamboo Data Center a Server možno zneužiť na realizáciu SSRF útokov, vzdialené vykonanie lokálnych súborov a získanie neoprávneného prístupu do systému. Ostatné zraniteľnosti možno zneužiť na zneprístupnenie služby, získanie neoprávneného prístupu do systému alebo vykonanie neoprávnených zmien v systéme.

Zraniteľné systémy:

  • Bamboo Data Center a Server vo verziách 9.6.0 – 9.6.3 (LTS), 9.5.0 – 9.5.4, 9.4.0 – 9.4.4, 9.3.0 – 9.3.6, 9.2.1 – 9.2.15 (LTS), 9.1.0 – 9.1.3, 9.0.0 – 9.0.4
  • Confluence Data Center a Server vo verziách 8.9.0 – 8.9.3, 8.8.0 – 8.8.1, 8.7.1 – 8.7.2, 8.6.0 – 8.6.2, 8.5.0 – 8.5.11 (LTS), 8.4.0 – 8.4.5, 8.3.0 – 8.3.4, 8.2.0 – 8.2.3, 8.1.0 – 8.1.4, 8.0.0 – 8.0.4, 7.20.0 – 7.20.3, 7.19.0 – 7.19.24 (LTS)
  • Jira Data Center a Server vo verziách 9.7.0 – 9.7.2, 9.6.0, 9.5.0 – 9.5.1, 9.4.0 – 9.4.17 (LTS), 9.3.0 – 9.3.3, 9.2.0 – 9.2.1, 9.1.0 – 9.1.1
  • Jira Service Management Center a Server vo verziách 5.7.0 – 5.7.2, 5.6.0, 5.5.0 – 5.5.1, 5.4.0 – 5.4.17 (LTS), 5.3.0 – 5.3.3, 5.2.0 – 5.2.1, 5.1.0 – 5.1.1

Opis zraniteľnosti:

CVE-2024-21687 (CVSS skóre 8,1)
Zraniteľnosť v produkte Bamboo Data Center a Server by vzdialený autentifikovaný útočník mohol zneužiť na zobrazenie obsahu alebo vykonanie lokálnych súborov.

CVE-2024-22262 (CVSS skóre 8,1)
CVE-2024-22262 v produkte Bamboo Data Center a Server sa nachádza v komponente org.springframework:spring-web a vzdialený neautentifikovaný útočník by ju mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov s následkom narušenia dôvernosti a integrity zraniteľných systémov.

Ostatné opravené zraniteľnosti môžu spôsobiť najmä nedostupnosť služby alebo umožňujú vykonávanie útokov XSS.

Možné škody:

  • Neoprávnená zmena v systém
  • Vykonanie škodlivého kódu
  • Zneprístupnenie služby
  • Neoprávnený prístup k citlivým údajom

Odporúčania:
Aktualizácia zraniteľných systémov na bezpečné verzie špecifikované výrobcom:

  • Bamboo Data Center a Server na verzie 9.6.4 (LTS) (odporúčaná verzia, len verzie Data Center), 9.2.16 (LTS)
  • Confluence Data Center a Server na verzie 8.9.4 (len verzie Data Center), 8.5.12 (LTS) (odporúčaná verzia), 7.19.25 (LTS)
  • Jira Data Center a Server na verzie 9.8.0 a novšie, 9.12.0 – 9.12.11 (LTS) (odporúčaná verzia), 9.4.18 – 9.4.24 (LTS)
  • Jira Service Management Center a Server na verzie 5.8.0 a novšie, 5.12.0 – 5.12.11 (LTS) (odporúčaná verzia), 5.4.18 – 5.4.24 (LTS)

Zdroje:
https://confluence.atlassian.com/security/security-bulletin-july-16-2024-1417150917.html
https://jira.atlassian.com/browse/BAM-25822
https://jira.atlassian.com/browse/BAM-25808
https://jira.atlassian.com/browse/CONFSERVER-96103
https://jira.atlassian.com/browse/CONFSERVER-96102
https://jira.atlassian.com/browse/CONFSERVER-96101
https://jira.atlassian.com/browse/CONFSERVER-96100
https://jira.atlassian.com/browse/CONFSERVER-96099
https://jira.atlassian.com/browse/CONFSERVER-96135
https://jira.atlassian.com/browse/CONFSERVER-96134
https://jira.atlassian.com/browse/JSWSERVER-25951
https://jira.atlassian.com/browse/JSDSERVER-15436