Компанията Atlassian публикува бюлетина за сигурност за август 2024 г., в който са описани девет уязвимости с висока степен на опасност, засягащи продуктите Bamboo, Confluence, Crowd и Jira.
Bamboo Data Center и Server получиха кръпки за две уязвимости с висока степен на опасност, включително автентифицирана грешка с отдалечено изпълнение на код, проследена като CVE-2024-21689.
Вторият проблем, дефект в сигурността, свързан с отказ на услуга (DoS), засяга Java зависимостта Bouncy Castle, използвана от продукта. Той е проследен като CVE-2024-29857 и може да бъде използван без удостоверяване.
Кръпките, публикувани за Confluence Data Center и Server, разрешават два дефекта в сигурността с висока степен на опасност, включително DoS проблем в Apache Tomcat (CVE-2024-34750), който може да бъде използван от неавтентифицирани атакуващи.
Вторият недостатък е отразен проблем с кръстосано писане на сайтове (XSS) и подправяне на заявки на кръстосани сайтове (CSRF), проследен като CVE-2024-21690, който може да позволи на отдалечен, неавтентифициран нападател да изпълни произволен HTML или JavaScript код в браузъра на жертвата.
Атакуващият може да „принуди крайния потребител да изпълни нежелани действия в уеб приложение, в което в момента е автентикиран“, обяснява компанията.
Atlassian е разрешила три грешки с висока степен на опасност SSRF в Crowd Data Center и Server. Проследени като CVE-2024-22259, CVE-2024-22243 и CVE-2024-22262, и трите засягат Spring Framework, използван от продукта.
Компанията обяви също така кръпки за грешки с висока степен на опасност в зависимостта от Apache Tomcat на Jira Data Center and Server и Jira Service Management Data Center and Server. Проследен като CVE-2024-34750, проблемът може да бъде използван за предизвикване на DoS състояние.
Кръпките за тези уязвимости, както се казва в бюлетина за сигурност на Atlassian, са пуснати през последния месец. Потребителите се съветват да актуализират инсталациите си възможно най-скоро, въпреки че компанията не споменава, че някой от тези пропуски се използва реално.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
