Zpět

Security bulletin 11/2024

Bezpečnostní upozornění

21. 11. 2024

Společnost Atlassian vydala bezpečnostní upozornění na zranitelnosti s prioritou High:

CVE-2024-47561 RCE v závislosti org.apache.avro:avro v Bamboo Data Center a Server

Produkt Nalezeno ve verzích Opraveno ve verzích
Bamboo Data Center 9.2.1, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8, 9.2.9, 9.2.10, 9.2.11, 9.2.12, 9.2.13, 9.2.14, 9.2.15, 9.2.16, 9.2.17, 9.2.18, 9.2.19, 9.6.0, 9.6.1, 9.6.2, 9.6.3, 9.6.4, 9.6.5, 9.6.6, 9.6.7, 10.0.0, 10.0.0-rc3, 10.0.0-rc5, 10.0.1, 10.0.2 9.2.20, 9.6.8, 10.0.3
Bamboo Server 9.2.1, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8, 9.2.9, 9.2.10, 9.2.11, 9.2.12, 9.2.13, 9.2.14, 9.2.15, 9.2.16, 9.2.17, 9.2.18, 9.2.19, 9.6.0, 9.6.1, 9.6.2, 9.6.3, 9.6.4, 9.6.5, 9.6.6, 9.6.7, 10.0.0, 10.0.0-rc3, 10.0.0-rc5, 10.0.1, 10.0.2 9.2.20, 9.6.8, 10.0.3

CVE-2022-38900 DoS v závislosti na knihovně decode-uri-component v Confluence Data Center

Produkt Nalezeno ve verzích Opraveno ve verzích
Confluence Data Center 7.0.1, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.0, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1
Confluence Server 7.0.1, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.0, 9.1.0

7.19.29, 8.5.17, 8.9.8, 9.1.1

CVE-2023-46234 BASM (Broken Authentication & Session Management) v závislosti na knihovně browserify-sign v Confluence Data Center

Produkt Nalezeno ve verzích Opraveno ve verzích
Confluence Data Center 7.11.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.0, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1

CVE-2024-38816 Path Traversal v závislosti na knihovně org.springframework:spring-webmvc v Confluence Data Center a Server

Produkt Nalezeno ve verzi Opraveno ve verzi
Confluence Data Center 3.0, 7.19.0, 7.19.20, 8.0.1, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.1, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1
Confluence Server 3.0, 7.19.0, 7.19.20, 8.0.1, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.1, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1

CVE-2024-24549 DoS (Denial of Service) ve org.apache.tomcat:tomcat-coyote v Confluence Data Center a Server

Používaná verze

opravená verze

8.9.0

8.9.1

 8.8.0 - 8.8.1

8.9.1

 8.7.0 - 8.7.2

8.9.1

 8.6.0 - 8.6.2

8.9.1

 8.5.0 - 8.5.8 LTS

8.9.1 nebo 8.5.9 LTS doporučeno

 8.4.0 - 8.4.5

8.9.1 nebo 8.5.9 LTS doporučeno

 8.3.0 - 8.3.4

8.9.1 nebo 8.5.9 LTS doporučeno

 8.2.0 - 8.2.3

8.9.1 nebo 8.5.9 LTS doporučeno

 8.1.0 - 8.1.4

8.9.1 nebo 8.5.9 LTS doporučeno

 8.0.0 - 8.0.4

8.9.1 nebo 8.5.9 LTS doporučeno

 7.20.0 - 7.20.3

8.9.1 nebo 8.5.9 LTS doporučeno

 7.19.0 - 7.19.21 LTS

8.9.1 nebo 8.5.9 LTS doporučeno nebo 7.19.22 LTS

 7.18.0 - 7.18.3

8.9.1 nebo 8.5.9 LTS doporučeno nebo 7.19.22 LTS

 7.17.0 - 7.17.5

8.9.1 nebo 8.5.9 LTS doporučeno nebo 7.19.22 LTS

Starší verze

8.9.1 nebo 8.5.9 LTS doporučeno nebo 7.19.22 LTS

CVE-2024-24549 Denial of Service (DoS) ve org.apache.tomcat:tomcat-coyote pro Confluence, Bitbucket a Crowd

Produkt Dotčené verze Opraveno ve verzi
Bitbucket Data Center 8.3.0, 8.3.1, 8.3.2, 8.3.3, 8.3.4, 8.4.0, 8.4.1, 8.4.2, 8.4.3, 8.4.4, 8.5.0, 8.5.1, 8.5.2, 8.5.3, 8.5.4, 8.6.0, 8.6.1, 8.6.2, 8.6.3, 8.6.4, 8.7.0, 8.7.1, 8.7.2, 8.7.3, 8.7.4, 8.7.5, 8.8.0, 8.8.1, 8.8.2, 8.8.3, 8.8.4, 8.8.5, 8.8.6, 8.8.7, 8.9.0, 8.9.1, 8.9.2, 8.9.3, 8.9.4, 8.9.5, 8.9.6, 8.9.7, 8.9.8, 8.9.9, 8.9.10, 8.9.11, 8.10.0, 8.10.1, 8.10.2, 8.10.3, 8.10.4, 8.10.5, 8.10.6, 8.11.0, 8.11.1, 8.11.2, 8.11.3, 8.11.4, 8.11.5, 8.11.6, 8.12.0, 8.12.1, 8.12.2, 8.12.3, 8.12.4, 8.12.5, 8.12.6, 8.13.0, 8.13.1, 8.13.2, 8.13.3, 8.13.4, 8.13.5, 8.13.6, 8.14.0, 8.14.0-eap01, 8.14.1, 8.14.2, 8.14.3, 8.14.4, 8.14.5, 8.14.6, 8.15.0, 8.15.1, 8.15.2, 8.15.3, 8.15.4, 8.15.5, 8.16.0, 8.16.1, 8.16.2, 8.16.3, 8.16.4, 8.17.0, 8.17.1, 8.17.2, 8.18.0, 8.18.1, 8.19.0 8.9.12, 8.19.1, 9.0.0
Bitbucket Server 8.3.0, 8.3.1, 8.3.2, 8.3.3, 8.3.4, 8.4.0, 8.4.1, 8.4.2, 8.4.3, 8.4.4, 8.5.0, 8.5.1, 8.5.2, 8.5.3, 8.5.4, 8.6.0, 8.6.1, 8.6.2, 8.6.3, 8.6.4, 8.7.0, 8.7.1, 8.7.2, 8.7.3, 8.7.4, 8.7.5, 8.8.0, 8.8.1, 8.8.2, 8.8.3, 8.8.4, 8.8.5, 8.8.6, 8.8.7, 8.9.0, 8.9.1, 8.9.2, 8.9.3, 8.9.4, 8.9.5, 8.9.6, 8.9.7, 8.9.8, 8.9.9, 8.9.10, 8.9.11, 8.10.0, 8.10.1, 8.10.2, 8.10.3, 8.10.4, 8.10.5, 8.10.6, 8.11.0, 8.11.1, 8.11.2, 8.11.3, 8.11.4, 8.11.5, 8.11.6, 8.12.0, 8.12.1, 8.12.2, 8.12.3, 8.12.4, 8.12.5, 8.12.6, 8.13.0, 8.13.1, 8.13.2, 8.13.3, 8.13.4, 8.13.5, 8.13.6, 8.14.0, 8.14.0-eap01, 8.14.1, 8.14.2, 8.14.3, 8.14.4, 8.14.5, 8.14.6, 8.15.0, 8.15.1, 8.15.2, 8.15.3, 8.15.4, 8.15.5, 8.16.0, 8.16.1, 8.16.2, 8.16.3, 8.16.4, 8.17.0, 8.17.1, 8.17.2, 8.18.0, 8.18.1, 8.19.0 8.9.12, 8.19.1, 9.0.0
Confluence Data Center 2.6.0, 6.5.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.22, 8.5.9, 8.9.1
Confluence Server 6.5.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0 7.19.22, 8.5.9, 8.9.0
Crowd Data Center 5.1.0, 5.1.1, 5.1.2, 5.1.3, 5.1.4, 5.1.5, 5.1.6, 5.1.7, 5.1.8, 5.2.0, 5.2.1, 5.2.2, 5.2.3, 5.3.0 5.1.9, 5.2.4, 5.3.1
Crowd Server 5.1.0, 5.1.1, 5.1.2, 5.1.3, 5.1.4, 5.1.5, 5.1.6, 5.1.7, 5.1.8, 5.2.0, 5.2.1, 5.2.2, 5.2.3, 5.3.0 5.1.9, 5.2.4, 5.3.1

CVE-2024-30172 Denial of Service (DoS) ve org.bouncycastle:bcprov-jdk18on

Produkt Dotčené verze Opraveno ve verzi
Bitbucket Data Center 8.9.5, 8.9.6, 8.9.7, 8.9.8, 8.9.9, 8.9.10, 8.9.11, 8.9.12, 8.9.13, 8.10.5, 8.10.6, 8.11.4, 8.11.5, 8.11.6, 8.12.2, 8.12.3, 8.12.4, 8.12.5, 8.12.6, 8.13.1, 8.13.2, 8.13.3, 8.13.4, 8.13.5, 8.13.6, 8.14.0, 8.14.0-eap01, 8.14.1, 8.14.2, 8.14.3, 8.14.4, 8.14.5, 8.14.6, 8.15.0, 8.15.1, 8.15.2, 8.15.3, 8.15.4, 8.15.5, 8.16.0, 8.16.1, 8.16.2, 8.16.3, 8.16.4, 8.17.0, 8.17.1, 8.17.2, 8.18.0, 8.18.1, 8.19.0, 8.19.1, 8.19.2 8.9.14, 8.19.3
Bitbucket Server 8.9.5, 8.9.6, 8.9.7, 8.9.8, 8.9.9, 8.9.10, 8.9.11, 8.9.12, 8.9.13, 8.10.5, 8.10.6, 8.11.4, 8.11.5, 8.11.6, 8.12.2, 8.12.3, 8.12.4, 8.12.5, 8.12.6, 8.13.1, 8.13.2, 8.13.3, 8.13.4, 8.13.5, 8.13.6, 8.14.0, 8.14.0-eap01, 8.14.1, 8.14.2, 8.14.3, 8.14.4, 8.14.5, 8.14.6, 8.15.0, 8.15.1, 8.15.2, 8.15.3, 8.15.4, 8.15.5, 8.16.0, 8.16.1, 8.16.2, 8.16.3, 8.16.4, 8.17.0, 8.17.1, 8.17.2, 8.18.0, 8.18.1, 8.19.0, 8.19.1, 8.19.2 8.9.14, 8.19.3
Confluence Data Center 3.7.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.26, 8.5.12, 8.9.4, 9.0.1
Confluence Server 3.7.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.26, 8.5.12, 8.9.4, 9.0.1
Crowd Data Center 5.2.4, 5.3.0, 5.3.1 5.2.6, 5.3.2
Crowd Server 5.2.4, 5.3.0, 5.3.1 5.2.6, 5.3.2

CVE-2024-38286 Denial of Service (DoS) v org.apache.tomcat:tomcat-coyote pro Crowd Data Center a Server

Produkt Dotčené verze Opraveno ve verzi
Crowd Data Center 5.2.0, 5.3.0, 5.3.1, 5.3.2, 5.3.3, 5.3.4, 6.0.0, 6.0.1, 6.0.2 5.3.5, 6.0.3
Crowd Server 5.2.0, 5.3.0, 5.3.1, 5.3.2, 5.3.3, 5.3.4, 6.0.0, 6.0.1, 6.0.2 5.3.5, 6.0.3

CVE-2023-52428 Denial of Service (DoS) v com.nimbusds:nimbus-jose-jwt pro Confluence a Jira Service Management Data Center a Server

Produkt Dotčené verze Opraveno ve verzi
Confluence Data Center 3.7.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.23, 8.5.11, 8.6.2, 8.7.2, 8.9.3
Confluence Server 3.7.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.23, 8.5.11, 8.6.2, 8.7.2, 8.9.3
Jira Service Management Data Center 5.1.0, 5.1.1, 5.2.0, 5.2.1, 5.3.0, 5.3.1, 5.3.2, 5.3.3, 5.4.0, 5.4.1, 5.4.2, 5.4.3, 5.4.4, 5.4.5, 5.4.6, 5.4.7, 5.4.8, 5.4.9, 5.4.10, 5.4.11, 5.4.12, 5.4.13, 5.4.14, 5.4.15, 5.4.16, 5.4.17, 5.4.18, 5.5.0, 5.5.1, 5.6.0, 5.7.0, 5.7.1, 5.7.2, 5.8.0, 5.8.1, 5.8.2, 5.9.0, 5.9.1, 5.9.2, 5.10.0, 5.10.1, 5.10.2, 5.11.0, 5.11.1, 5.11.2, 5.11.3, 5.12.0, 5.12.1, 5.12.2, 5.12.3, 5.12.4, 5.12.5, 5.13.0, 5.13.1, 5.14.0, 5.14.1, 5.15.0, 5.15.1, 5.15.2, 5.16.0, 5.16.1, 5.17.0 5.4.19, 5.12.6
Jira Service Management Server 5.1.0, 5.1.1, 5.2.0, 5.2.1, 5.3.0, 5.3.1, 5.3.2, 5.3.3, 5.4.0, 5.4.1, 5.4.2, 5.4.3, 5.4.4, 5.4.5, 5.4.6, 5.4.7, 5.4.8, 5.4.9, 5.4.10, 5.4.11, 5.4.12, 5.4.13, 5.4.14, 5.4.15, 5.4.16, 5.4.17, 5.4.18, 5.5.0, 5.5.1, 5.6.0, 5.7.0, 5.7.1, 5.7.2, 5.8.0, 5.8.1, 5.8.2, 5.9.0, 5.9.1, 5.9.2, 5.10.0, 5.10.1, 5.10.2, 5.11.0, 5.11.1, 5.11.2, 5.11.3, 5.12.0, 5.12.1, 5.12.2, 5.12.3, 5.12.4, 5.12.5, 5.13.0, 5.13.1, 5.14.0, 5.14.1, 5.15.0, 5.15.1, 5.15.2, 5.16.0, 5.16.1, 5.17.0 5.4.19, 5.12.6

CVE-2024-21697 Remote Code Execution (RCE) v Sourcetree for Mac a Sourcetree for Windows

Produkt Dotčené verze Opraveno ve verzích
Sourcetree for Mac 3.4.19, 4.2.8 3.4.20, 4.2.9
Sourcetree for Windows 3.4.19, 4.2.8 3.4.20, 4.2.9

CVE-2024-45801 XSS (Cross-Site Scripting) v DOMPurify závislosti pro Jira Service Management a Jira Core

Produkt Dotčené verze Opraveno ve verzi
Jira Core Data Center 9.4.0, 9.12.0, 9.17.0, 10.0.0, 10.1.0 9.4.28, 9.12.15, 9.17.4, 10.1.1
Jira Core Server 9.4.0, 9.12.0, 9.17.0, 10.0.0, 10.1.0 9.4.28, 9.12.15, 9.17.4, 10.1.1
Jira Service Management Data Center 5.4.0, 5.12.0, 5.17.0, 10.0.0, 10.1.0 5.4.28, 5.12.15, 5.17.4, 10.1.1
Jira Service Management Server 5.4.0, 5.12.0, 5.17.0, 10.0.0, 10.1.0 5.4.28, 5.12.15, 5.17.4, 10.1.1

Zdroj:

https://confluence.atlassian.com/security/security-bulletin-november-19-2024-1456179091.html

https://www.atlassian.com/trust/data-protection/vulnerabilities

Následuje podrobnější popis nalezených zranitelností

CVE-2024-47561 RCE v závislosti org.apache.avro:avro v Bamboo Data Center a Server

Dopady:

  1. Dostupnost (Availability): Zranitelnost může narušit dostupnost aplikace, protože útočník může využít chybné parsování schémat k provedení škodlivých akcí ovlivňujících funkčnost systému.
  2. Integrita (Integrity): Útočník může pozměnit data v aplikaci, což má nízký, ale významný dopad na důvěryhodnost systému.
  3. Ochrana dat (Confidentiality): Zranitelnost může vést k úniku některých dat, i když tento dopad je označen jako nízký.
  4. Bezpečnostní model: Zranitelnost nevyžaduje autentizaci ani interakci uživatele, což znamená, že útočník může spustit svůj škodlivý kód vzdáleně a bez předchozích oprávnění.

Doporučené kroky:

  1. Aktualizace: Uživatelé Bamboo by měli aktualizovat na:
    • Verze >= 9.2.20 (pro řadu 9.2),
    • Verze >= 9.6.8 (pro řadu 9.6),
    • Verze >= 10.0.3 (pro řadu 10.0).
  2. Aktualizace Apache Avro SDK: Doporučuje se aktualizovat na Apache Avro verzi 1.11.4 nebo 1.12.0.
  3. Monitorování a audit: Doporučuje se monitorovat aktivity systému a provádět pravidelné bezpečnostní audity.
Produkt Nalezeno ve verzích Opraveno ve verzích
Bamboo Data Center 9.2.1, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8, 9.2.9, 9.2.10, 9.2.11, 9.2.12, 9.2.13, 9.2.14, 9.2.15, 9.2.16, 9.2.17, 9.2.18, 9.2.19, 9.6.0, 9.6.1, 9.6.2, 9.6.3, 9.6.4, 9.6.5, 9.6.6, 9.6.7, 10.0.0, 10.0.0-rc3, 10.0.0-rc5, 10.0.1, 10.0.2 9.2.20, 9.6.8, 10.0.3
Bamboo Server 9.2.1, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8, 9.2.9, 9.2.10, 9.2.11, 9.2.12, 9.2.13, 9.2.14, 9.2.15, 9.2.16, 9.2.17, 9.2.18, 9.2.19, 9.6.0, 9.6.1, 9.6.2, 9.6.3, 9.6.4, 9.6.5, 9.6.6, 9.6.7, 10.0.0, 10.0.0-rc3, 10.0.0-rc5, 10.0.1, 10.0.2 9.2.20, 9.6.8, 10.0.3

CVE-2022-38900 DoS v závislosti na knihovně decode-uri-component v Confluence Data Center

Tato zranitelnost umožňuje neautentizovanému útočníkovi způsobit přetížení systému (Denial of Service) prostřednictvím zneužití chyb v závislosti decode-uri-component. To vede k tomu, že systém ztrácí dostupnost a přestává odpovídat na legitimní požadavky.

Útočník může:

  1. Způsobit výpadky služby: Legitimizní uživatelé mohou ztratit přístup k Confluence Data Center kvůli nedostupnosti systému.
  2. Zvýšit náklady na provoz: Organizace mohou být nuceny alokovat více zdrojů k obnovení služby a identifikaci útoku.
  3. Ovlivnit obchodní operace: Kritické operace závislé na dostupnosti Confluence mohou být přerušeny.

Doporučené kroky:

  1. Aktualizace systému:
    • Uživatelé Confluence Data Center by měli aktualizovat na nejnovější dostupnou verzi, která tuto zranitelnost opravuje.
  2. Monitorování systému:
    • Implementujte monitorovací nástroje, které dokáží detekovat neobvyklou zátěž nebo aktivitu.
  3. Zabezpečení infrastruktury:
    • Použití ochranných mechanismů jako je rate-limiting, aby se omezil počet požadavků z jednoho zdroje.
Produkt Nalezeno ve verzích Opraveno ve verzích
Confluence Data Center 7.0.1, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.0, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1
Confluence Server 7.0.1, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.0, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1

CVE-2023-46234 BASM (Broken Authentication & Session Management) v závislosti na knihovně browserify-sign v Confluence Data Center

Tato zranitelnost vychází z nedostatků v ověřování kryptografických podpisů. Útočník může využít slabiny k manipulaci s autentizačním procesem nebo k podvržení relací, což umožňuje:

  1. Zmanipulování integrity systému: Útočník může získat neoprávněný přístup nebo změnit uživatelská oprávnění.
  2. Riziko narušení aplikace: Útočníci mohou ovlivnit správu uživatelských relací, což vede k potenciálním bezpečnostním incidentům.
  3. Omezený dopad na důvěrnost a dostupnost: Hlavním cílem této zranitelnosti není únik dat nebo přetížení systému.

Možné scénáře zneužití:

  • Útočník může obejít autentizační mechanismy a získat přístup k privilegovaným funkcím nebo datům bez odpovídající autorizace.
  • Zneužití relace platného uživatele k neautorizovaným aktivitám.

Doporučená opatření:

  1. Aktualizace systému:
    • Atlassian doporučuje okamžitě aktualizovat Confluence Data Center na verzi 9.1.0 nebo vyšší, která zranitelnost řeší.
  2. Monitorování přístupu:
    • Nastavte protokoly sledování, abyste mohli odhalit podezřelé přístupy nebo manipulaci s relacemi.
  3. Zabezpečení autentizace:
    • Implementujte další ověřovací vrstvy, například vícefaktorovou autentizaci (MFA).
  4. Kontrola kryptografických knihoven:
    • Zkontrolujte a aktualizujte všechny závislosti, včetně browserify-sign, na nejnovější verze.
Produkt Nalezeno ve verzích Opraveno ve verzích
Confluence Data Center 7.11.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.0, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1

CVE-2024-38816 Path Traversal v závislosti na knihovně org.springframework:spring-webmvc v Confluence Data Center a Server

Tato zranitelnost umožňuje útočníkům využít slabinu ve zpracování statických zdrojů v knihovně Spring WebMVC. Při zneužití zranitelnosti může útočník provádět útoky typu Path Traversal, což znamená:

  1. Nepovolený přístup k souborům:
    • Útočník může zneužít HTTP požadavky k přístupu k souborům na serveru mimo povolené adresáře.
    • Jakýkoli soubor, který je přístupný uživatelem spouštějícím aplikaci (např. konfigurace, logy, klíče), může být vystaven.
  1. Vysoký dopad na důvěrnost:
    • Útočník může získat citlivé informace, které mohou být následně využity k dalším útokům, jako jsou eskalace práv nebo útoky na jiné systémy.
  1. Bez dopadu na integritu a dostupnost:
    • Útočník nemůže měnit data ani omezit dostupnost služby.

Podmínky zranitelnosti:

  • Aplikace musí používat RouterFunctions pro obsluhu statických zdrojů.
  • Statické zdroje musí být konfigurovány explicitně s umístěním FileSystemResource.

Zranitelnost je blokována, pokud:

  1. Je použita Spring Security HTTP Firewall, který blokuje škodlivé požadavky.
  2. Aplikace běží na aplikačních serverech Tomcat nebo Jetty, které implementují ochranu proti Path Traversal.

Doporučená opatření:

  1. Aktualizace systému:
    • Aktualizujte Confluence na podporované verze:
      • Verze 8.5: 8.5.17 nebo vyšší.
      • Verze 8.9: 8.9.8 nebo vyšší.
      • Verze 9.1: 9.1.1 nebo vyšší.
  2. Použití Spring Security Firewall:
    • Nasazení ochrany prostřednictvím Spring Security ke zmírnění rizika.
  3. Minimalizace přístupových práv:
    • Zkontrolujte, zda aplikace nemá nadměrný přístup k souborům na serveru.
  4. Logování a monitorování:
    • Implementujte systémy detekce anomálií k identifikaci podezřelých požadavků.
Produkt Nalezeno ve verzi Opraveno ve verzi
Confluence Data Center 3.0, 7.19.0, 7.19.20, 8.0.1, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.1, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1
Confluence Server 3.0, 7.19.0, 7.19.20, 8.0.1, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0, 9.0.1, 9.1.0 7.19.29, 8.5.17, 8.9.8, 9.1.1

CVE-2024-24549 DoS (Denial of Service) ve org.apache.tomcat:tomcat-coyote v Confluence Data Center a Server

Zranitelnost v knihovně Tomcat Coyote umožňuje útočníkům zneužít chybu při zpracování HTTP požadavků, což vede k přetížení služby. Výsledkem je:

  1. Úplná nedostupnost služby:
    • Útočník může vyvolat stav, kdy Confluence server není schopen odpovídat na požadavky.
    • To má přímý dopad na provoz aplikace, což může vést k narušení klíčových obchodních operací.
  1. Postižení více uživatelů:
    • Vzhledem k povaze DoS útoků může být server nedostupný nejen pro jednoho, ale pro všechny uživatele přistupující k danému systému.
  1. Riziko opakovaného zneužití:
    • Útočník nemusí mít přístupová práva ani interakci s uživateli, což činí útok snadno proveditelným.

Doporučená opatření:

  1. Okamžitá aktualizace:

Verze 2.6.0 a novější: Aktualizujte na verzi specifikovanou v doporučení od Atlassian.

  1. Monitorování provozu:
    • Implementujte nástroje pro detekci a prevenci útoků (např. WAF – Web Application Firewall), které mohou identifikovat a blokovat podezřelé požadavky.
  2. Optimalizace síťové infrastruktury:
    • Použití CDN a Load Balancerů může zmírnit dopady DoS útoků rozdělením zatížení mezi více serverů.

Používaná verze

opravená verze

8.9.0

8.9.1

 8.8.0 - 8.8.1

8.9.1

 8.7.0 - 8.7.2

8.9.1

 8.6.0 - 8.6.2

8.9.1

 8.5.0 - 8.5.8 LTS

8.9.1 nebo 8.5.9 LTS doporučeno

 8.4.0 - 8.4.5

8.9.1 nebo 8.5.9 LTS doporučeno

 8.3.0 - 8.3.4

8.9.1 nebo 8.5.9 LTS doporučeno

 8.2.0 - 8.2.3

8.9.1 nebo 8.5.9 LTS doporučeno

 8.1.0 - 8.1.4

8.9.1 nebo 8.5.9 LTS doporučeno

 8.0.0 - 8.0.4

8.9.1 nebo 8.5.9 LTS doporučeno

 7.20.0 - 7.20.3

8.9.1 nebo 8.5.9 LTS doporučeno

 7.19.0 - 7.19.21 LTS

8.9.1 nebo 8.5.9 LTS doporučeno nebo 7.19.22 LTS

 7.18.0 - 7.18.3

8.9.1 nebo 8.5.9 LTS doporučeno nebo 7.19.22 LTS

 7.17.0 - 7.17.5

8.9.1 nebo 8.5.9 LTS doporučeno nebo 7.19.22 LTS

Starší verze

8.9.1 nebo 8.5.9 LTS doporučeno nebo 7.19.22 LTS

CVE-2024-24549 Denial of Service (DoS) ve org.apache.tomcat:tomcat-coyote pro Confluence, Bitbucket a Crowd

HTTP/2 požadavky, které překročí konfigurované limity pro hlavičky, nejsou správně resetovány. To vede ke zbytečné spotřebě systémových zdrojů, což může způsobit nedostupnost služby.

Rizika a dopady

  • Dostupnost:
    • Útočník může způsobit nedostupnost služby zablokováním zdrojů serveru.
  • Škálovatelnost:
    • Postižení více uživatelů současně, pokud je systém sdílený.
  • Obchodní dopad:
    • Nedostupnost systémů jako Confluence či Bitbucket může narušit klíčové procesy, například sdílení dokumentace nebo vývoj softwaru.

Doporučení pro zmírnění rizika

Aktualizace: 

           Confluence Data Center a Server:

         Zranitelnost postihuje verze od 6.5.

           Doporučená oprava: Aktualizace na:

                        7.19.22 (pro 7.19),

                        8.5.9 (pro 8.5).

          Bitbucket Data Center a Server:

        Postiženy verze od 8.3.0 do 8.19.0.

          Doporučená oprava: Aktualizace na:

                      8.9.12 (pro 8.9),

                      8.19.1 (pro 8.19).

         Crowd Data Center a Server:

       Zranitelné verze: 5.1.0, 5.2.0, 5.3.0.

         Doporučená oprava: Aktualizace na:

                      5.1.9 (pro 5.1),

                      5.2.4 (pro 5.2).

Konfigurace HTTP/2: Omezte velikost a počet hlaviček v konfiguraci serveru.

Použití WAF (Web Application Firewall): Detekujte a blokujte podezřelé HTTP/2 požadavky.

Monitorování systému: Sledujte výkon a zátěž serveru pro včasnou identifikaci DoS útoků.

Produkt Dotčené verze Opraveno ve verzi
Bitbucket Data Center 8.3.0, 8.3.1, 8.3.2, 8.3.3, 8.3.4, 8.4.0, 8.4.1, 8.4.2, 8.4.3, 8.4.4, 8.5.0, 8.5.1, 8.5.2, 8.5.3, 8.5.4, 8.6.0, 8.6.1, 8.6.2, 8.6.3, 8.6.4, 8.7.0, 8.7.1, 8.7.2, 8.7.3, 8.7.4, 8.7.5, 8.8.0, 8.8.1, 8.8.2, 8.8.3, 8.8.4, 8.8.5, 8.8.6, 8.8.7, 8.9.0, 8.9.1, 8.9.2, 8.9.3, 8.9.4, 8.9.5, 8.9.6, 8.9.7, 8.9.8, 8.9.9, 8.9.10, 8.9.11, 8.10.0, 8.10.1, 8.10.2, 8.10.3, 8.10.4, 8.10.5, 8.10.6, 8.11.0, 8.11.1, 8.11.2, 8.11.3, 8.11.4, 8.11.5, 8.11.6, 8.12.0, 8.12.1, 8.12.2, 8.12.3, 8.12.4, 8.12.5, 8.12.6, 8.13.0, 8.13.1, 8.13.2, 8.13.3, 8.13.4, 8.13.5, 8.13.6, 8.14.0, 8.14.0-eap01, 8.14.1, 8.14.2, 8.14.3, 8.14.4, 8.14.5, 8.14.6, 8.15.0, 8.15.1, 8.15.2, 8.15.3, 8.15.4, 8.15.5, 8.16.0, 8.16.1, 8.16.2, 8.16.3, 8.16.4, 8.17.0, 8.17.1, 8.17.2, 8.18.0, 8.18.1, 8.19.0 8.9.12, 8.19.1, 9.0.0
Bitbucket Server 8.3.0, 8.3.1, 8.3.2, 8.3.3, 8.3.4, 8.4.0, 8.4.1, 8.4.2, 8.4.3, 8.4.4, 8.5.0, 8.5.1, 8.5.2, 8.5.3, 8.5.4, 8.6.0, 8.6.1, 8.6.2, 8.6.3, 8.6.4, 8.7.0, 8.7.1, 8.7.2, 8.7.3, 8.7.4, 8.7.5, 8.8.0, 8.8.1, 8.8.2, 8.8.3, 8.8.4, 8.8.5, 8.8.6, 8.8.7, 8.9.0, 8.9.1, 8.9.2, 8.9.3, 8.9.4, 8.9.5, 8.9.6, 8.9.7, 8.9.8, 8.9.9, 8.9.10, 8.9.11, 8.10.0, 8.10.1, 8.10.2, 8.10.3, 8.10.4, 8.10.5, 8.10.6, 8.11.0, 8.11.1, 8.11.2, 8.11.3, 8.11.4, 8.11.5, 8.11.6, 8.12.0, 8.12.1, 8.12.2, 8.12.3, 8.12.4, 8.12.5, 8.12.6, 8.13.0, 8.13.1, 8.13.2, 8.13.3, 8.13.4, 8.13.5, 8.13.6, 8.14.0, 8.14.0-eap01, 8.14.1, 8.14.2, 8.14.3, 8.14.4, 8.14.5, 8.14.6, 8.15.0, 8.15.1, 8.15.2, 8.15.3, 8.15.4, 8.15.5, 8.16.0, 8.16.1, 8.16.2, 8.16.3, 8.16.4, 8.17.0, 8.17.1, 8.17.2, 8.18.0, 8.18.1, 8.19.0 8.9.12, 8.19.1, 9.0.0
Confluence Data Center 2.6.0, 6.5.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.22, 8.5.9, 8.9.1
Confluence Server 6.5.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0 7.19.22, 8.5.9, 8.9.0
Crowd Data Center 5.1.0, 5.1.1, 5.1.2, 5.1.3, 5.1.4, 5.1.5, 5.1.6, 5.1.7, 5.1.8, 5.2.0, 5.2.1, 5.2.2, 5.2.3, 5.3.0 5.1.9, 5.2.4, 5.3.1
Crowd Server 5.1.0, 5.1.1, 5.1.2, 5.1.3, 5.1.4, 5.1.5, 5.1.6, 5.1.7, 5.1.8, 5.2.0, 5.2.1, 5.2.2, 5.2.3, 5.3.0 5.1.9, 5.2.4, 5.3.1

CVE-2024-30172 Denial of Service (DoS) ve org.bouncycastle:bcprov-jdk18on

Chyba v knihovně Bouncy Castle (verze před 1.78) umožňuje útočníkovi vytvořit speciálně upravený podpis a veřejný klíč, což vede k nekonečné smyčce při ověřování Ed25519 kódu. To může způsobit přetížení systému a ztrátu dostupnosti služby.

Rizika a dopady

  • Dostupnost: Útočník může způsobit selhání systému a zastavení služby prostřednictvím přetížení zdrojů.
  • Obchodní dopad: Nedostupnost kritických systémů, jako jsou Confluence (pro spolupráci), Crowd (pro správu identit) a Bitbucket (pro vývoj softwaru), může narušit klíčové procesy.
  • Expozice: Zranitelnost nevyžaduje oprávnění nebo interakci, což zvyšuje její riziko pro širokou škálu aplikací.

Doporučení pro zmírnění rizika

Aktualizace

          Confluence Data Center a Server

        Zranitelné od verze 3.7.

        Doporučené opravy:

                  7.19.26 (pro řadu 7.19),

                  8.5.12 (pro řadu 8.5),

                  8.9.4 (pro řadu 8.9),

                  9.0.1 (pro řadu 9.0).

         Crowd Data Center a Server

        Zranitelné verze: 5.2.4 a 5.3.0.

        Doporučené opravy:

                  5.2.6 (pro řadu 5.2).

          Bitbucket Data Center a Server

        Zranitelné verze: 8.9.5 až 8.19.0.

        Doporučené opravy:

                 8.9.14 (pro řadu 8.9),

                 8.19.3 (pro řadu 8.19).

Monitorování systémů: Sledujte využití zdrojů a neobvyklé chování aplikací.

Testování aktualizací: Ověřte funkčnost po implementaci opravy.

Další opatření: Pokud není aktualizace okamžitě možná, zvážit nasazení ochrany pomocí firewallu nebo proxy serverů.

Produkt Dotčené verze Opraveno ve verzi
Bitbucket Data Center 8.9.5, 8.9.6, 8.9.7, 8.9.8, 8.9.9, 8.9.10, 8.9.11, 8.9.12, 8.9.13, 8.10.5, 8.10.6, 8.11.4, 8.11.5, 8.11.6, 8.12.2, 8.12.3, 8.12.4, 8.12.5, 8.12.6, 8.13.1, 8.13.2, 8.13.3, 8.13.4, 8.13.5, 8.13.6, 8.14.0, 8.14.0-eap01, 8.14.1, 8.14.2, 8.14.3, 8.14.4, 8.14.5, 8.14.6, 8.15.0, 8.15.1, 8.15.2, 8.15.3, 8.15.4, 8.15.5, 8.16.0, 8.16.1, 8.16.2, 8.16.3, 8.16.4, 8.17.0, 8.17.1, 8.17.2, 8.18.0, 8.18.1, 8.19.0, 8.19.1, 8.19.2 8.9.14, 8.19.3
Bitbucket Server 8.9.5, 8.9.6, 8.9.7, 8.9.8, 8.9.9, 8.9.10, 8.9.11, 8.9.12, 8.9.13, 8.10.5, 8.10.6, 8.11.4, 8.11.5, 8.11.6, 8.12.2, 8.12.3, 8.12.4, 8.12.5, 8.12.6, 8.13.1, 8.13.2, 8.13.3, 8.13.4, 8.13.5, 8.13.6, 8.14.0, 8.14.0-eap01, 8.14.1, 8.14.2, 8.14.3, 8.14.4, 8.14.5, 8.14.6, 8.15.0, 8.15.1, 8.15.2, 8.15.3, 8.15.4, 8.15.5, 8.16.0, 8.16.1, 8.16.2, 8.16.3, 8.16.4, 8.17.0, 8.17.1, 8.17.2, 8.18.0, 8.18.1, 8.19.0, 8.19.1, 8.19.2 8.9.14, 8.19.3
Confluence Data Center 3.7.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.26, 8.5.12, 8.9.4, 9.0.1
Confluence Server 3.7.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.26, 8.5.12, 8.9.4, 9.0.1
Crowd Data Center 5.2.4, 5.3.0, 5.3.1 5.2.6, 5.3.2
Crowd Server 5.2.4, 5.3.0, 5.3.1 5.2.6, 5.3.2

CVE-2024-38286 Denial of Service (DoS) v org.apache.tomcat:tomcat-coyote pro Crowd Data Center a Server

Útočník může prostřednictvím manipulace s procesem TLS handshake způsobit chybu OutOfMemoryError na serveru Apache Tomcat, což vede k nedostupnosti služby.

  

Rizika a dopady

  • Dostupnost: Útočník může snadno přetížit server manipulací s TLS handshake procesem, což způsobí nedostupnost aplikace.
  • Obchodní dopady:
    • Nedostupnost systému Crowd může přerušit správu identit a autentizace, což má negativní vliv na všechny přidružené systémy.
    • Riziko pro cloudové i lokální instalace, protože chyba je dostupná vzdáleně a nevyžaduje interakci.
  • Technický dopad: Chyba ovlivňuje proces zpracování TLS handshake, což může vést k vyčerpání paměti a pádu serveru.

 

Doporučení

Okamžitě aktualizovat Apache Tomcat:

Verze 11.0.0-M21, 10.1.25, nebo 9.0.90 (a novější).

Aktualizovat Crowd Data Center a Server:

          Crowd Data Center a Server

         Zranitelné verze:

          5.2.0, 5.3.0, 6.0.0.

         Doporučené opravy:

            5.3.5 (pro řadu 5.3),

            6.0.3 (pro řadu 6.0).

Zabezpečit server:

Monitorujte TLS handshake proces a přidělte limity pro počet a délku relací.

Nasazení ochranných opatření:

Firewall, rate-limiting, a další mechanismy na síťové vrstvě mohou zmírnit riziko útoků.

Testování a validace: Ověřte funkčnost systému po aktualizaci a sledujte jeho stabilitu.

Produkt Dotčené verze Opraveno ve verzi
Crowd Data Center 5.2.0, 5.3.0, 5.3.1, 5.3.2, 5.3.3, 5.3.4, 6.0.0, 6.0.1, 6.0.2 5.3.5, 6.0.3
Crowd Server 5.2.0, 5.3.0, 5.3.1, 5.3.2, 5.3.3, 5.3.4, 6.0.0, 6.0.1, 6.0.2 5.3.5, 6.0.3

CVE-2023-52428 Denial of Service (DoS) v com.nimbusds:nimbus-jose-jwt pro Confluence a Jira Service Management Data Center a Server

 

Útočník může zneužít komponentu PasswordBasedDecrypter (PBKDF2) v balíčku Nimbus JOSE+JWT k vytvoření velké hodnoty hlavičky p2c (iteration count), což vede ke spotřebování systémových prostředků a následné nedostupnosti služby.

Rizika a dopady

  • Dostupnost: Zranitelnost umožňuje útočníkovi vyvolat spotřebu systémových prostředků a způsobit nedostupnost aplikace.
  • Obchodní dopady:
    • Nedostupnost systémů může ovlivnit provozní činnosti organizace, které závisí na nástrojích Confluence a Jira.
    • Zvýšené riziko útoků na síťově přístupné instance, protože zranitelnost nevyžaduje autentizaci ani uživatelskou interakci.
  • Technický dopad: Komponenta PBKDF2 v balíčku Nimbus JOSE+JWT neomezuje hodnotu iterací při zpracování dešifrování, což útočník může zneužít k přetížení serveru.

Doporučení

  1. Aktualizace zranitelných systémů:

          Confluence Data Center a Server

               Zranitelné verze: Od verze 3.7.

               Doporučené opravy:

                       7.19.23 (pro řadu 7.19),

                       8.5.11 (pro řadu 8.5),

                       8.6.2 (pro řadu 8.6),

                       8.7.2 (pro řadu 8.7),

                       8.9.3 (pro řadu 8.9).

          Jira Service Management Data Center a Server

                Zranitelné verze: Od verze 5.1.0 do 5.17.0.

                Doporučené opravy:

                      5.4.19 (pro řadu 5.4),

                      5.12.6 (pro řadu 5.12).

Nejnovější verze lze stáhnout z Atlassian download centerJira Service Management archives.

  1. Zavedení ochranných opatření:
    • Nasazení mechanismů pro omezení spotřeby prostředků, jako je rate-limiting.
    • Použití WAF (Web Application Firewall) pro ochranu proti útokům DoS.
  1. Monitoring a testování:
    • Monitorovat systémové prostředky, abyste zachytili anomálie spojené s potenciálním útokem.
    • Otestovat funkčnost a stabilitu po aplikaci aktualizací.
Produkt Dotčené verze Opraveno ve verzi
Confluence Data Center 3.7.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.23, 8.5.11, 8.6.2, 8.7.2, 8.9.3
Confluence Server 3.7.0, 7.19.0, 7.20.0, 8.0.0, 8.1.0, 8.2.0, 8.3.0, 8.4.0, 8.5.0, 8.6.0, 8.7.1, 8.8.0, 8.9.0 7.19.23, 8.5.11, 8.6.2, 8.7.2, 8.9.3
Jira Service Management Data Center 5.1.0, 5.1.1, 5.2.0, 5.2.1, 5.3.0, 5.3.1, 5.3.2, 5.3.3, 5.4.0, 5.4.1, 5.4.2, 5.4.3, 5.4.4, 5.4.5, 5.4.6, 5.4.7, 5.4.8, 5.4.9, 5.4.10, 5.4.11, 5.4.12, 5.4.13, 5.4.14, 5.4.15, 5.4.16, 5.4.17, 5.4.18, 5.5.0, 5.5.1, 5.6.0, 5.7.0, 5.7.1, 5.7.2, 5.8.0, 5.8.1, 5.8.2, 5.9.0, 5.9.1, 5.9.2, 5.10.0, 5.10.1, 5.10.2, 5.11.0, 5.11.1, 5.11.2, 5.11.3, 5.12.0, 5.12.1, 5.12.2, 5.12.3, 5.12.4, 5.12.5, 5.13.0, 5.13.1, 5.14.0, 5.14.1, 5.15.0, 5.15.1, 5.15.2, 5.16.0, 5.16.1, 5.17.0 5.4.19, 5.12.6
Jira Service Management Server 5.1.0, 5.1.1, 5.2.0, 5.2.1, 5.3.0, 5.3.1, 5.3.2, 5.3.3, 5.4.0, 5.4.1, 5.4.2, 5.4.3, 5.4.4, 5.4.5, 5.4.6, 5.4.7, 5.4.8, 5.4.9, 5.4.10, 5.4.11, 5.4.12, 5.4.13, 5.4.14, 5.4.15, 5.4.16, 5.4.17, 5.4.18, 5.5.0, 5.5.1, 5.6.0, 5.7.0, 5.7.1, 5.7.2, 5.8.0, 5.8.1, 5.8.2, 5.9.0, 5.9.1, 5.9.2, 5.10.0, 5.10.1, 5.10.2, 5.11.0, 5.11.1, 5.11.2, 5.11.3, 5.12.0, 5.12.1, 5.12.2, 5.12.3, 5.12.4, 5.12.5, 5.13.0, 5.13.1, 5.14.0, 5.14.1, 5.15.0, 5.15.1, 5.15.2, 5.16.0, 5.16.1, 5.17.0 5.4.19, 5.12.6

CVE-2024-21697 Remote Code Execution (RCE) v Sourcetree for Mac a Sourcetree for Windows

Tato zranitelnost umožňuje útočníkovi vzdálené spuštění libovolného kódu na zranitelném zařízení.

Útok vyžaduje uživatelskou interakci, například otevření škodlivého souboru.

 

Rizika a potenciální dopady

  • Ochrana dat: Ztráta citlivých dat uložených na zařízení nebo přístup k datům v napojených úložištích.
  • Integrita: Modifikace kódu v projektech, instalace škodlivého software či změny konfigurací.
  • Dostupnost: Útoky mohou vést k úplné nedostupnosti systému kvůli jeho přetížení nebo poškození.

 

Doporučení pro uživatele

Aktualizace:

Sourcetree for Mac

       Zranitelná verze: Od 4.2.8.

       Doporučené opravy: Aktualizujte na verzi 4.2.9 nebo novější.

Sourcetree for Windows

       Zranitelná verze: Od 3.4.19.

       Doporučené opravy: Aktualizujte na verzi 3.4.20 nebo novější.

Nejnovější verze jsou dostupné ke stažení na Atlassian Sourcetree Download Page.

 Zabezpečení pracovního prostředí:

      Nepoužívejte staré či nepodporované verze Sourcetree.

      Omezte používání škodlivých nebo podezřelých souborů ve vašem pracovním prostředí.

Školení a osvěta:

       Informujte uživatele ve vaší organizaci o riziku spojeném s touto zranitelností a důležitosti aktualizací.

Další bezpečnostní opatření:

        Používejte antivirové nástroje, které detekují škodlivé soubory.

        Aktivujte nástroje na sledování aktivit a anomálií na vašem zařízení.

Produkt Dotčené verze Opraveno ve verzích
Sourcetree for Mac 3.4.19, 4.2.8 3.4.20, 4.2.9
Sourcetree for Windows 3.4.19, 4.2.8 3.4.20, 4.2.9

 

CVE-2024-45801 XSS (Cross-Site Scripting) v DOMPurify závislosti pro Jira Service Management a Jira Core

Zranitelnost v třetí straně, konkrétně v knihovně DOMPurify, umožňuje útočníkovi vložit škodlivý skript do webové aplikace.

Rizika a potenciální dopady

  • XSS útoky: Útočník může vložit škodlivý kód do webové stránky, který bude vykonán v prohlížeči oběti, což může vést k odcizení citlivých informací nebo dalším škodlivým akcím.
  • Nízký dopad na dostupnost: Tato zranitelnost obvykle nezpůsobí výpadky nebo ztrátu přístupu k systému, ale může být zneužita k provedení škodlivých akcí bez ovlivnění samotné dostupnosti služby.

Doporučení pro uživatele

Aktualizace: Stáhněte a nainstalujte nejnovější opravené verze pro vaši instalaci Jira.

Jira Service Management Data Center a Server

          Zranitelná verze: 5.4.0, 5.12.0, 5.17.0, 10.0.0, 10.1.0.

          Doporučené opravy:

          5.4: Aktualizujte na verzi 5.4.28 nebo novější.

          5.12: Aktualizujte na verzi 5.12.15 nebo novější.

          5.17: Aktualizujte na verzi 5.17.4 nebo novější.

          10.1: Aktualizujte na verzi 10.1.1 nebo novější.

Jira Core Data Center a Server

          Zranitelná verze: 9.4.0, 9.12.0, 9.17.0, 10.0.0, 10.1.0.

          Doporučené opravy:

          9.4: Aktualizujte na verzi 9.4.28 nebo novější.

          9.12: Aktualizujte na verzi 9.12.15 nebo novější.

          9.17: Aktualizujte na verzi 9.17.4 nebo novější.

          10.1: Aktualizujte na verzi 10.1.1 nebo novější.

Ochrana proti XSS útokům: Ověřte, že všechny vstupy uživatelů jsou správně zpracovány a že aplikace správně filtruje všechny škodlivé skripty.

Školení a prevence: Zajistěte, aby vaši uživatelé byli informováni o rizicích a důležitosti používání zabezpečených verzí softwaru.

 

Produkt Dotčené verze Opraveno ve verzi
Jira Core Data Center 9.4.0, 9.12.0, 9.17.0, 10.0.0, 10.1.0 9.4.28, 9.12.15, 9.17.4, 10.1.1
Jira Core Server 9.4.0, 9.12.0, 9.17.0, 10.0.0, 10.1.0 9.4.28, 9.12.15, 9.17.4, 10.1.1
Jira Service Management Data Center 5.4.0, 5.12.0, 5.17.0, 10.0.0, 10.1.0 5.4.28, 5.12.15, 5.17.4, 10.1.1
Jira Service Management Server 5.4.0, 5.12.0, 5.17.0, 10.0.0, 10.1.0 5.4.28, 5.12.15, 5.17.4, 10.1.1

Mohlo by vás zajímat

Zobrazit vše

13. 12. 2024

Bezpečnostní upozornění

Security Bulletin - Prosinec 2024

Společnost Atlassian vydala upozornění na zranitelnosti Zdroj https://www.atlassian.com/trust/data-protection/vulnerabilities