Серьезные недостатки, обнаруженные в продуктах Atlassian и сервере ISC BIND

[Carding]

Atlassian и Internet Systems Consortium (ISC) раскрыли несколько недостатков безопасности, влияющих на их продукты, которые могут быть использованы для обеспечения отказа в обслуживании (DoS) и удаленного выполнения кода.

Австралийский поставщик программных услуг сказал, что четыре серьезных недостатка были исправлены в новых версиях, выпущенных в прошлом месяце. Это включает в себя -

• CVE-2022-25647 (оценка CVSS: 7,5) - Ошибка десериализации в пакете Google Gson, влияющая на управление исправлениями в центре обработки данных и сервере Jira Service Management
• CVE-2023-22512 (оценка CVSS: 7,5) - Ошибка DoS в центре обработки данных Confluence и сервере
• CVE-2023-22513 (оценка CVSS: 8,5) - ошибка RCE в центре обработки данных Bitbucket и сервере
• CVE-2023-28709 (оценка CVSS: 7,5) - Ошибка DoS в сервере Apache Tomcat, влияющая на центр обработки данных Bamboo и сервер

Недостатки были устранены в следующих версиях -

• Сервер управления службами Jira и Центр обработки данных (версии 4.20.25, 5.4.9, 5.9.2, 5.10.1, 5.11.0, или более поздние)
• Сервер Confluence и центр обработки данных (версии 7.19.13, 7.19.14, 8.5.1, 8.6.0 или более поздние)
• Сервер Bitbucket и центр обработки данных (версии 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1, 8.14.0, или более поздние)
• Сервер Bamboo и центр обработки данных (версии 9.2.4, 9.3.1 или более поздние)

Исправлены две серьезные ошибки в привязке​

В рамках соответствующей разработки ISC выпустила исправления для двух серьезных ошибок, затрагивающих программный пакет Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS), который может привести к состоянию DoS -

• CVE-2023-3341 (оценка CVSS: 7.5) - Ошибка исчерпания стека в коде канала управления может привести к неожиданному завершению named (исправлено в версиях 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 и 9.18.19-S1).
• CVE-2023-4236 (оценка CVSS: 7.5) - Именованная служба может неожиданно завершиться из-за высокой нагрузки запросов DNS поверх TLS (исправлено в версиях 9.18.19 и 9.18.19-S1)

Последние исправления поступают через три месяца после того, как ISC выпустила исправления для трех других недостатков в программном обеспечении (CVE-2023-2828, CVE-2023-2829 и CVE-2023-2911, оценки CVSS: 7,5), которые могут привести к состоянию DoS.