Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Atlassian выпустила исправления программного обеспечения, устраняющие четыре критических недостатка в своем программном обеспечении, которые при успешном использовании могут привести к удаленному выполнению кода.
Список уязвимостей приведен ниже -
Ошибка обнаружения ресурсов позволяет злоумышленнику выполнять привилегированное удаленное выполнение кода на компьютерах с установленным Assets Discovery agent, в то время как CVE-2023-22524 может позволить злоумышленнику добиться выполнения кода с помощью WebSockets для обхода списка блокировок Atlassian Companion и защиты macOS Gatekeeper.
Рекомендация появилась почти через месяц после того, как австралийская софтверная компания обнаружила, что на все версии ее центров обработки данных Bamboo и серверных продуктов влияет активно используемая критическая ошибка безопасности в Apache ActiveMQ (CVE-2023-46604, оценка CVSS: 10.0). Исправления были выпущены в версиях 9.2.7, 9.3.5 и 9.4.1 или более поздних.
Поскольку в последние годы продукты Atlassian становятся прибыльными объектами атак, настоятельно рекомендуется, чтобы пользователи быстро обновили уязвимые установки до исправленной версии.
Список уязвимостей приведен ниже -
- CVE-2022-1471 (оценка CVSS: 9,8) - Уязвимость десериализации в библиотеке SnakeYaml, которая может привести к удаленному выполнению кода в нескольких продуктах
- CVE-2023-22522 (оценка CVSS: 9.0) - Уязвимость удаленного выполнения кода в Центре обработки данных Confluence и сервере Confluence Server (затрагивает все версии, включая 4.0.0 и после нее)
- CVE-2023-22523 (оценка CVSS: 9,8) - Уязвимость удаленного выполнения кода в Assets Discovery для облака, сервера и центра обработки данных Jira Service Management (затрагивает все версии до 3.2.0-cloud / 6.2.0 центр обработки данных и сервер, но не включая их)
- CVE-2023-22524 (оценка CVSS: 9.6) - Уязвимость удаленного выполнения кода в приложении Atlassian Companion для macOS (затрагивает все версии вплоть до 2.0.0, но не включая ее)
Ошибка обнаружения ресурсов позволяет злоумышленнику выполнять привилегированное удаленное выполнение кода на компьютерах с установленным Assets Discovery agent, в то время как CVE-2023-22524 может позволить злоумышленнику добиться выполнения кода с помощью WebSockets для обхода списка блокировок Atlassian Companion и защиты macOS Gatekeeper.
Рекомендация появилась почти через месяц после того, как австралийская софтверная компания обнаружила, что на все версии ее центров обработки данных Bamboo и серверных продуктов влияет активно используемая критическая ошибка безопасности в Apache ActiveMQ (CVE-2023-46604, оценка CVSS: 10.0). Исправления были выпущены в версиях 9.2.7, 9.3.5 и 9.4.1 или более поздних.
Поскольку в последние годы продукты Atlassian становятся прибыльными объектами атак, настоятельно рекомендуется, чтобы пользователи быстро обновили уязвимые установки до исправленной версии.
