Компания Atlassian на днях опубликовала информационные бюллетени об устранении четырёх критических уязвимостей удалённого выполнения кода (RCE), затрагивающих серверы Confluence, Jira и Bitbucket, а также сопутствующее приложение для macOS.
Эти проблемы безопасности были оценены как критические, с баллом не менее 9.0 из 10 по внутренней шкале Atlassian. Однако компания рекомендует организациям оценить их актуальность самостоятельно в соответствии со своей IT-средой.
Ни одна из уязвимостей, по данным компании, пока не эксплуатируется злоумышленниками. Тем не менее, учитывая популярность продуктов Atlassian и их широкое использование в корпоративных средах, системным администраторам следует сделать скорейшее обновление систем своим главным приоритетом.
Уязвимости удалённого выполнения кода, устранённые Atlassian в этом месяце, получили следующие идентификаторы:
- CVE-2023-22522 : уязвимость инъекции шаблонов в Confluence, позволяющая аутентифицированным пользователям, включая анонимных, вводить небезопасные данные на страницу Confluence. Затрагивает все версии Confluence Data Center и Server после 4.0.0 и до 8.5.3 (оценка 9.0).
- CVE-2023-22523 : привилегированное RCE в агенте обнаружения активов Jira Service Management Cloud, Server и Data Center. Уязвимы версии Asset Discovery ниже 3.2.0 для Cloud и 6.2.0 для Data Center и Server (оценка 9.8).
- CVE-2023-22524 : обход блок-листа и защиты Gatekeeper macOS в приложении-компаньоне для Confluence Server и Data Center для macOS. Затрагивает все версии приложения до 2.0.0 (оценка 9.6).
- CVE-2022-1471 : RCE в библиотеке SnakeYAML, затрагивающая множество версий продуктов Jira, Bitbucket и Confluence (оценка 9.8).
Также Atlassian предоставила ряд временных мер, если обновить программное обеспечение сразу не представляется возможным.
Так, если невозможно временно удалить агенты Asset Discovery для устранения уязвимости CVE-2023-22523, Atlassian предлагает заблокировать порт, используемый для связи с агентами (по умолчанию – 51337). Для CVE-2023-22522 отсутствуют временные меры, поэтому если невозможно сразу применить патч, Atlassian рекомендует администраторам делать резервные копии затронутых экземпляров и отключать их. В случае с уязвимостью CVE-2023-22524 компания рекомендует банально удалить Atlassian Companion App, если установить обновление невозможно.