Atlassian, sunucu ve veri merkezi ürünlerindeki güvenlik açıklarını yamalar – Güvenlik

Geçen Cuma, Atlassian üç uzaktan kod yürütme (RCE) güvenlik açığı için düzeltmeler duyurdu.

Üç hata, yalnızca kimliği doğrulanmış kullanıcılar tarafından kullanılabildiğinden, Yüksek ve Çok Ciddi Değil olarak derecelendirilir.

CVE-2023-22505şirketin bug bounty programına yakalanan, 8 CVSS puanı kazanan Confluence Veri Merkezi ve Sunucu Ürünleri sürüm 8.0.0’da kullanıma sunuldu.

Saldırganın kullanıcı etkileşimi olmadan rasgele kod yürütmesine izin veren bir RCE’dir.

Kullanıcıların bulut sunucularını en son sürüme yükseltmeleri önerilir. Yapamazlarsa, düzeltmeyi içeren 8.3.2 veya 8.4.0’a yükseltebilirler.

CVE-2023-22508 Aynı etkiye sahip başka bir RCE, Confluence Datacenter ve Server 7.4.0’da tanıtılan ve ayrıca Atlassian’ın hata ödülü tarafından bildirilen CVE-2023-22505’tir.

En son sürüme yükseltme yapamayan kullanıcılar, düzeltmeyi içeren 8.2.0 sürümünü kullanabilir.

Sonunda, orada CVE-2023-22506Özel sızma testinde, Bamboo’da RCE keşfedildi.

Bu RCE, Bamboo Datacenter 8.0.0’da tanıtıldı: “Atlassian, bulut sunucunuzu en son sürüme yükseltmenizi önerir. En son sürüme yükseltme yapamıyorsanız, şu kararlı sürümlerden birine yükseltin: 9.2.3 ve 9.3.1.”

Şirketin uyarıları, Atlassian’ın yakın zamanda açıklamalarının kapsamını genişlettiğine dikkat çekti: “Daha önce kritik birinci taraf güvenlik açıklarını kritik uyarılarla ifşa etmeye odaklanmıştık.”

Şimdi daha düşük dereceli güvenlik açıklarının da ifşa edilmesi gerektiğine karar verdi, ancak “bu, daha fazla güvenlik açığı olduğu anlamına gelmiyor” dedi.

Şirket, “Bunun yerine, güvenlik açığı şeffaflığına daha proaktif bir yaklaşım benimsiyoruz ve müşterilerimize ürünlerimizi güncelleme konusunda bilinçli kararlar vermeleri için ihtiyaç duydukları bilgileri sağlamaya kararlıyız” dedi.