CarderPlanet
Professional
- Messages
- 2,552
- Reaction score
- 675
- Points
- 83
Критическая уязвимость системы безопасности в программном обеспечении непрерывной интеграции и непрерывного развертывания JetBrains TeamCity (CI / CD) может быть использована злоумышленниками, не прошедшими проверку подлинности, для обеспечения удаленного выполнения кода в затронутых системах.
Недостаток, отслеживаемый как CVE-2023-42793, имеет оценку CVSS 9,8 и был устранен в версии TeamCity 2023.05.4 после ответственного раскрытия 6 сентября 2023 года.
"Злоумышленники могут использовать этот доступ для кражи исходного кода, служебных секретов и закрытых ключей, получения контроля над подключенными агентами сборки и отравления артефактами сборки", - сказал в отчете на прошлой неделе исследователь безопасности Sonar Стефан Шиллер. Шиллер.
Успешное использование ошибки также может позволить субъектам угрозы получить доступ к конвейерам сборки и внедрить произвольный код, что приведет к нарушению целостности и компрометации цепочки поставок.
Дополнительные подробности ошибки были утаены из-за того, что ее тривиально использовать, при этом Sonar отмечает, что она, вероятно, будет использована злоумышленниками в качестве оружия в дикой природе.
www.youtube.com
JetBrains в независимом консультативном заключении рекомендовала пользователям выполнить обновление как можно скорее. Компания также выпустила плагин исправления безопасности для TeamCity версий 8.0 и выше, специально предназначенный для устранения этой ошибки.
Раскрытие связано с обнаружением двух серьезных недостатков в продуктах Atos Unify OpenScape, которые позволяют злоумышленнику с низкими привилегиями выполнять произвольные команды операционной системы от имени пользователя root (CVE-2023-36618), а злоумышленнику, не прошедшему проверку подлинности, получать доступ к различным конфигурационным сценариям и выполнять их (CVE-2023-36619).
Недостатки были исправлены Atos в июле 2023 года.
За последние несколько недель Sonar также опубликовал подробную информацию о критических уязвимостях межсайтового скриптинга (XSS), влияющих на решения для зашифрованной электронной почты, включая Proton Mail, Skiff и Tutanota, которые могли быть использованы для кражи электронных писем и выдавать себя за жертв.
Недостаток, отслеживаемый как CVE-2023-42793, имеет оценку CVSS 9,8 и был устранен в версии TeamCity 2023.05.4 после ответственного раскрытия 6 сентября 2023 года.
"Злоумышленники могут использовать этот доступ для кражи исходного кода, служебных секретов и закрытых ключей, получения контроля над подключенными агентами сборки и отравления артефактами сборки", - сказал в отчете на прошлой неделе исследователь безопасности Sonar Стефан Шиллер. Шиллер.
Успешное использование ошибки также может позволить субъектам угрозы получить доступ к конвейерам сборки и внедрить произвольный код, что приведет к нарушению целостности и компрометации цепочки поставок.
Дополнительные подробности ошибки были утаены из-за того, что ее тривиально использовать, при этом Sonar отмечает, что она, вероятно, будет использована злоумышленниками в качестве оружия в дикой природе.
Demonstration of TeamCity vulnerability on a test instance
In this video, we demonstrate a TeamCity vulnerability on a test instance. Find all the technical details on https://www.sonarsource.com/blog/teamcity-vulner...
www.youtube.com
JetBrains в независимом консультативном заключении рекомендовала пользователям выполнить обновление как можно скорее. Компания также выпустила плагин исправления безопасности для TeamCity версий 8.0 и выше, специально предназначенный для устранения этой ошибки.
Раскрытие связано с обнаружением двух серьезных недостатков в продуктах Atos Unify OpenScape, которые позволяют злоумышленнику с низкими привилегиями выполнять произвольные команды операционной системы от имени пользователя root (CVE-2023-36618), а злоумышленнику, не прошедшему проверку подлинности, получать доступ к различным конфигурационным сценариям и выполнять их (CVE-2023-36619).
Недостатки были исправлены Atos в июле 2023 года.
За последние несколько недель Sonar также опубликовал подробную информацию о критических уязвимостях межсайтового скриптинга (XSS), влияющих на решения для зашифрованной электронной почты, включая Proton Mail, Skiff и Tutanota, которые могли быть использованы для кражи электронных писем и выдавать себя за жертв.
