A Atlassian publicou alertas de segurança para quatro vulnerabilidades críticas de execução remota de código (RCE, na sigla em inglês) que afetam os servidores Confluence, Jira e Bitbucket, além de um aplicativo complementar para macOS.
Todos os problemas de segurança abordados receberam uma pontuação de gravidade crítica de pelo menos 9,0 em 10, com base na avaliação interna da Atlassian. Porém, a empresa orienta as empresas a avaliarem a aplicabilidade de acordo com seu ambiente de TI.
A empresa não marcou nenhum dos problemas de segurança como sendo explorados em estado selvagem. No entanto, devido à popularidade dos produtos Atlassian e à sua ampla implantação em ambientes corporativos, os administradores de sistema devem priorizar a aplicação das atualizações disponíveis.
O conjunto de quatro vulnerabilidades RCE abordadas neste mês recebe os seguintes identificadores:
CVE-2023-22522: Falha de injeção de modelo que permite que usuários autenticados, incluindo aqueles com acesso anônimo, injetem entradas inseguras em uma página do Confluence (crítico, com pontuação de gravidade 9,0). A falha afeta todas as versões do Confluence Data Center e Server após 4.0.0 e até 8.5.3.
CVE-2023-22523: RCE privilegiado no agente Assets Discovery que afeta o Jira Service Management Cloud, o servidor e o data center (crítico, com pontuação de gravidade de 9,8). As versões Vulnerable Asset Discovery são inferiores a 3.2.0 para Cloud e 6.2.0 para Data Center e Servidor.
CVE-2023-22524: Ignorar a lista de bloqueio e o macOS Gatekeeper no aplicativo complementar do Confluence Server e do Data Center para macOS, afetando todas as versões do aplicativo anteriores à 2.0.0 (crítico, com pontuação de gravidade de 9,6).
CVE-2022-1471: RCE na biblioteca SnakeYAML afetando várias versões dos produtos Jira, Bitbucket e Confluence (crítico, com pontuação de gravidade de 9,8).
Para resolver todos os quatro problemas acima, recomenda-se que os usuários atualizem para uma das seguintes versões do produto:
Confluence Data Center e Servidor 7.19.17 (LTS), 8.4.5 e 8.5.4 (LTS)
Jira Service Management Cloud (Assets Discovery) 3.2.0 ou posterior e Jira Service Management Data Center and Server (Assets Discovery) 6.2.0 ou posterior.
Aplicativo Atlassian Companion para MacOS 2.0.0 ou posterior
Automação para aplicativos Jira (A4J) Marketplace 9.0.2 e 8.2.4
Bitbucket Data Center e Server 7.21.16 (LTS), 8.8.7, 8.9.4 (LTS), 8.10.4, 8.11.3, 8.12.1, 8.13.0, 8.14.0, 8.15.0 (somente data center ) e 8.16.0 (somente data center)
Aplicativo de migração para nuvem Confluence (CCMA) 3.4.0
Jira Core Data Center e Servidor, Jira Software Data Center e Servidor 9.11.2, 9.12.0 (LTS) e 9.4.14 (LTS)
Jira Service Management Data Center e servidor 5.11.2, 5.12.0 (LTS) e 5.4.14 (LTS)
Se a desinstalação dos agentes Asset Discovery para aplicação do patch para CVE-2023-22523 não for possível no momento ou precisar ser adiada, a Atlassian fornece uma mitigação temporária que consiste em bloquear a porta usada para comunicação com os agentes, que por padrão é 51337.
No caso do CVE-2023-22522, não há solução de mitigação. Se os administradores não conseguirem aplicar o patch imediatamente, a Atlassian recomenda que façam backup das instâncias afetadas e as coloquem off-line.
Se os administradores não conseguirem aplicar o patch para CVE-2023-22524, a empresa recomenda desinstalar o aplicativo Atlassian Companion.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/atlassian-patches-critical-rce-flaws-across-multiple-products/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #atlassian #corrige #falhas #críticas #de #rce #em #vários #produtos
Postar um comentário