Atlassian выпустила исправления для более чем двух десятков ошибок в системе безопасности, включая критическую ошибку, влияющую на Центр обработки данных Bamboo и сервер, которую можно использовать, не требуя взаимодействия с пользователем.
Уязвимость, отслеживаемая как CVE-2024-1597, имеет оценку CVSS 10.0, что указывает на максимальную серьезность.
Описанная как ошибка SQL-инъекции, она связана с зависимостью под названием org.postgresql: postgresql, в результате чего, по словам компании, она "представляет более низкий оцененный риск", несмотря на критичность.
"Эта уязвимость org.postgresql: зависимость от postgresql [...] может позволить злоумышленнику, не прошедшему проверку подлинности, раскрыть ресурсы в вашей среде, подверженные эксплуатации, что оказывает большое влияние на конфиденциальность, целостность и доступность и не требует взаимодействия с пользователем", - сказал Atlassian.
Согласно описанию ошибки в Национальной базе данных уязвимостей NIST (NVD), "pgjdbc, драйвер PostgreSQL JDBC, позволяет злоумышленнику внедрять SQL, если используется PreferQueryMode= SIMPLE". Затронуты версии драйверов, предшествующие перечисленным ниже -
"При использовании режима запроса по умолчанию уязвимости в драйвере нет. Пользователи, которые не переопределяют режим запроса, не затрагиваются".
Сообщается, что уязвимость Atlassian была внедрена в следующих версиях Bamboo Data Center и Server -
Исследователю безопасности SonarSource Полу Герсте приписывают обнаружение ошибки и сообщение о ней. Пользователям рекомендуется обновить свои экземпляры до последней версии для защиты от любых потенциальных угроз.
Уязвимость, отслеживаемая как CVE-2024-1597, имеет оценку CVSS 10.0, что указывает на максимальную серьезность.
Описанная как ошибка SQL-инъекции, она связана с зависимостью под названием org.postgresql: postgresql, в результате чего, по словам компании, она "представляет более низкий оцененный риск", несмотря на критичность.
"Эта уязвимость org.postgresql: зависимость от postgresql [...] может позволить злоумышленнику, не прошедшему проверку подлинности, раскрыть ресурсы в вашей среде, подверженные эксплуатации, что оказывает большое влияние на конфиденциальность, целостность и доступность и не требует взаимодействия с пользователем", - сказал Atlassian.
Согласно описанию ошибки в Национальной базе данных уязвимостей NIST (NVD), "pgjdbc, драйвер PostgreSQL JDBC, позволяет злоумышленнику внедрять SQL, если используется PreferQueryMode= SIMPLE". Затронуты версии драйверов, предшествующие перечисленным ниже -
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9, и
- 42.2.28 (также исправлено в 42.2.28.jre7)
"При использовании режима запроса по умолчанию уязвимости в драйвере нет. Пользователи, которые не переопределяют режим запроса, не затрагиваются".
Сообщается, что уязвимость Atlassian была внедрена в следующих версиях Bamboo Data Center и Server -
- 8.2.1
- 9.0.0
- 9.1.0
- 9.2.1
- 9.3.0
- 9.4.0, и
- 9.5.0
Исследователю безопасности SonarSource Полу Герсте приписывают обнаружение ошибки и сообщение о ней. Пользователям рекомендуется обновить свои экземпляры до последней версии для защиты от любых потенциальных угроз.
