Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
JetBrains предупреждает клиентов о критической ошибке безопасности в своем программном обеспечении для локальной непрерывной интеграции и непрерывного развертывания TeamCity (CI / CD), которое может быть использовано злоумышленниками для захвата уязвимых инстансов.
Уязвимость, отслеживаемая как CVE-2024-23917, имеет рейтинг CVSS 9,8 из 10, что указывает на ее серьезность.
"Уязвимость может позволить злоумышленнику, не прошедшему проверку подлинности, с доступом по HTTP к серверу TeamCity обойти проверки подлинности и получить административный контроль над этим сервером TeamCity", - сказали в компании.
Проблема затрагивает все локальные версии TeamCity с 2017.1 по 2023.11.2. Она устранена в версии 2023.11.3. Неназванному внешнему исследователю безопасности приписывают обнаружение ошибки и сообщение о ней 19 января 2024 года.
Пользователи, которые не могут обновить свои серверы до версии 2023.11.3, могут поочередно загрузить плагин исправления безопасности, чтобы применить исправления для этой ошибки.
"Если ваш сервер общедоступен через Интернет и вы не можете немедленно предпринять одно из вышеуказанных действий по устранению неполадок, мы рекомендуем временно сделать его недоступным до завершения действий по устранению неполадок", - посоветовали в JetBrains.
Хотя нет никаких доказательств того, что этим недостатком злоупотребляли в дикой природе, аналогичный недостаток в том же продукте (CVE-2023-42793, оценка CVSS: 9,8) был активно использован в прошлом году в течение нескольких дней после публичного раскрытия несколькими участниками угрозы, включая банды программ-вымогателей и спонсируемые государством группы, связанные с Северной Кореей и Россией.
Уязвимость, отслеживаемая как CVE-2024-23917, имеет рейтинг CVSS 9,8 из 10, что указывает на ее серьезность.
"Уязвимость может позволить злоумышленнику, не прошедшему проверку подлинности, с доступом по HTTP к серверу TeamCity обойти проверки подлинности и получить административный контроль над этим сервером TeamCity", - сказали в компании.
Проблема затрагивает все локальные версии TeamCity с 2017.1 по 2023.11.2. Она устранена в версии 2023.11.3. Неназванному внешнему исследователю безопасности приписывают обнаружение ошибки и сообщение о ней 19 января 2024 года.
Пользователи, которые не могут обновить свои серверы до версии 2023.11.3, могут поочередно загрузить плагин исправления безопасности, чтобы применить исправления для этой ошибки.
"Если ваш сервер общедоступен через Интернет и вы не можете немедленно предпринять одно из вышеуказанных действий по устранению неполадок, мы рекомендуем временно сделать его недоступным до завершения действий по устранению неполадок", - посоветовали в JetBrains.
Хотя нет никаких доказательств того, что этим недостатком злоупотребляли в дикой природе, аналогичный недостаток в том же продукте (CVE-2023-42793, оценка CVSS: 9,8) был активно использован в прошлом году в течение нескольких дней после публичного раскрытия несколькими участниками угрозы, включая банды программ-вымогателей и спонсируемые государством группы, связанные с Северной Кореей и Россией.
