Společnost Atlassian informuje o 5 kritických a 7 závažných (high-severity) zranitelnostech v externích knihovnách používaných produkty Atlassian.

I když použití těchto závislostí v Atlassian produktech znamená nižší riziko, doporučuje se aktualizace na opravené verze.

Souhrn zranitelností:

Důležité poznámky:

1. Proč můj produkt není v seznamu opravených verzí?

• Pravděpodobně používáte nepodporovanou verzi. Doporučujeme přejít na nejnovější nebo LTS verzi.

2. Jak zjistím nejnovější verze produktů Atlassian?

• Podívejte se na https://www.atlassian.com/software.

3. Používám LTS verzi, ale není v opravených verzích. Proč?

• Vaše LTS verze možná ještě nebyla aktualizována nebo nebylo možné zpětně opravit chybu. Doporučujeme přejít na nejnovější verzi.

4. Kde zjistím detaily o konkrétních zranitelnostech?

• Detail konkrétní zranitelnosti vyhledejte podle čísla zranitelnosti na portálu pro zveřejňování zranitelností.

Doporučení:
Pro minimalizaci bezpečnostních rizik doporučujeme všem zákazníkům co nejdříve provést aktualizaci na nejnovější podporované verze jejich produktů Atlassian.

Zdroj: https://confluence.atlassian.com/security/security-bulletin-february-18-2025-1510670627.html

Detail zranitelností:

CVE-2024-7254 DoS (Denial of Service) com.google.protobuf:protobuf-java Dependency in Bamboo Data Center and Server, Jira Data Center a Server

Popis zranitelnosti
Tato vysoce závažná zranitelnost v závislosti com.google.protobuf:protobuf-java umožňuje vzdálenému útočníkovi způsobit přetečení zásobníku (StackOverflow) prostřednictvím speciálně vytvořených zpráv obsahujících libovolný počet vnořených skupin (SGROUP tagů). Parsing těchto skupin jako neznámých polí nebo jejich zpracování pomocí DiscardUnknownFieldsParser, Java Protobuf Lite parseru nebo proti mapovým polím v Protobuf může vést k neomezené rekurzi, kterou může útočník zneužít k narušení dostupnosti systému.

Hodnocení CVSS

• CVSS skóre: 8.7 (HIGH)
• Vektor: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Doporučení
Atlassian doporučuje zákazníkům, kteří používají produkty závislé na protobuf-java, aby aktualizovali na nejnovější verzi této knihovny. Pokud to není možné, měli by přejít na některou z následujících podporovaných verzí:

• protobuf-java verze 3.25.5
• protobuf-java verze 4.27.5
• protobuf-java verze 4.28.2

URL zdroje

• National Vulnerability Database (NVD)
• GitHub Commit
• NetApp Advisory

CVE-2024-47072 DoS (Denial of Service) com.thoughtworks.xstream:xstream Dependency in Bamboo Data Center and Server

Popis zranitelnosti
Knihovna XStream slouží k serializaci objektů do XML a zpět. Tato zranitelnost umožňuje vzdálenému útočníkovi vyvolat pád aplikace s chybou přetečení zásobníku (StackOverflowError), což vede k odepření služby (DoS). Zranitelnost se vyskytuje, pokud je XStream nakonfigurován k použití BinaryStreamDriver a útočník manipuluje se zpracovávaným vstupem. Ve verzi XStream 1.4.21 byla tato chyba opravena detekcí manipulace binárního vstupu a vyvoláním výjimky InputManipulationException.

Hodnocení CVSS

• CVSS skóre: 7.5 (HIGH)
• Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Doporučení
Doporučuje se aktualizovat XStream na verzi 1.4.21 nebo novější. Pokud není aktualizace možná, lze v klientském kódu, který volá XStream, zachytávat výjimku StackOverflowError, pokud je XStream nakonfigurován k použití BinaryStreamDriver.

URL zdroje

• GitHub Commit
• XStream Security Advisory
• Oficiální stránka XStream o CVE-2024-47072

CVE-2024-47561 RCE (Remote Code Execution) org.apache.avro:avro Dependency in Bitbucket Data Center and Server

Popis zranitelnosti
Parsování schémat v Java SDK Apache Avro ve verzích 1.11.3 a starších umožňuje útočníkům spustit libovolný kód. Tento problém může vést k narušení bezpečnosti aplikací využívajících zranitelné verze Avro.

Hodnocení CVSS

• CVSS skóre: 9.2 (CRITICAL)
• Vektor: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Doporučení
Doporučuje se aktualizovat na Apache Avro verze 1.11.4 nebo 1.12.0, které tuto zranitelnost opravují.

URL zdroje

• Oznámení na Openwall
• Apache Security Advisory
• NetApp Security Advisory

CVE-2024-50379 RCE (Remote Code Execution) org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center and Server, Crowd Data Center and Server

Popis zranitelnosti

Zranitelnost typu Time-of-check Time-of-use (TOCTOU) Race Condition při kompilaci JSP v Apache Tomcat umožňuje vzdálené spuštění kódu (RCE) na souborových systémech nerozlišujících velká a malá písmena, pokud je povolen výchozí servlet pro zápis (nejedná se o výchozí konfiguraci). Tato zranitelnost ovlivňuje Apache Tomcat ve verzích:

• 11.0.0-M1 až 11.0.1
• 10.1.0-M1 až 10.1.33
• 9.0.0.M1 až 9.0.97

Doporučuje se aktualizovat na verze 11.0.2, 10.1.34 nebo 9.0.98, které tento problém opravují.

Hodnocení CVSS

Zranitelnost čeká na analýzu, skóre CVSS zatím nebylo přiřazeno.

Doporučení

• Okamžitě aktualizujte Apache Tomcat na verzi 11.0.2, 10.1.34 nebo 9.0.98.
• Pokud aktualizace není možná, doporučuje se zakázat možnost zápisu ve výchozím servletu.
• Monitorujte bezpečnostní fóra pro případné další doporučení a opravy.

URL zdroje

• Openwall – OSS Security 1
• Openwall – OSS Security 2
• Apache Security Thread
• NetApp Security Advisory

CVE-2024-56337 RCE (Remote Code Execution) org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center and Server, Crowd Data Center and Server

Popis zranitelnosti

Zranitelnost typu Time-of-check Time-of-use (TOCTOU) Race Condition v Apache Tomcat. Ovlivněné verze:

• 11.0.0-M1 až 11.0.1
• 10.1.0-M1 až 10.1.33
• 9.0.0.M1 až 9.0.97

Tato zranitelnost vznikla v důsledku nekompletního vyřešení CVE-2024-50379. Pokud je Tomcat spuštěn na souborovém systému nerozlišujícím velká a malá písmena s povoleným zápisem výchozího servletu (readonly inicializační parametr nastaven na false, což není výchozí hodnota), může být nutné upravit konfiguraci podle použité verze Javy:

• Java 8 nebo Java 11: Nastavit system property sun.io.useCanonCaches na false (výchozí hodnota je true).
• Java 17: Pokud je sun.io.useCanonCaches nastaveno, musí být hodnota false (výchozí hodnota je již false).
• Java 21 a novější: Není potřeba další konfigurace (daná vlastnost i problematická cache byly odstraněny).

Od verzí Tomcat 11.0.3, 10.1.35 a 9.0.99 budou přidány kontroly, zda je sun.io.useCanonCaches správně nastaveno před povolením zápisu výchozího servletu na case-insensitive file system. Tomcat se také pokusí tuto hodnotu nastavit na false automaticky, kde to bude možné.

Hodnocení CVSS

Tato zranitelnost čeká na analýzu, skóre CVSS zatím nebylo přiřazeno.

Doporučení

• Aktualizujte Apache Tomcat na verzi 11.0.3, 10.1.35 nebo 9.0.99.
• Pokud aktualizace není možná, proveďte úpravy dle použité verze Javy (viz popis výše).
• Monitorujte bezpečnostní fóra pro případné další doporučení a opravy.

URL zdroje

• Apache Security Thread
• NetApp Security Advisory
• CVE-2024-50379 Detail

CVE-2024-52316 BASM (Broken Authentication & Session Management) org.apache.tomcat:tomcat-catalina Dependency in Crowd Data Center and Server

Popis zranitelnosti

Zranitelnost Unchecked Error Condition v Apache Tomcat může umožnit obejití autentizace. Pokud je Tomcat nakonfigurován tak, aby používal vlastní komponentu Jakarta Authentication (dříve JASPIC) ServerAuthContext, která může během autentizace vyvolat výjimku bez explicitního nastavení HTTP statusu indikujícího neúspěch, autentizace nemusí selhat. To může vést k neoprávněnému přístupu.

Nejsou známy žádné Jakarta Authentication komponenty, které by se chovaly tímto způsobem, nicméně zranitelnost postihuje následující verze Apache Tomcat:

• 11.0.0-M1 až 11.0.0-M26
• 10.1.0-M1 až 10.1.30
• 9.0.0-M1 až 9.0.95

Doporučuje se aktualizovat na verze 11.0.0, 10.1.31 nebo 9.0.96, které tento problém opravují.

Hodnocení CVSS

Zranitelnost čeká na analýzu, skóre CVSS zatím nebylo přiřazeno.

Doporučení

• Aktualizujte Apache Tomcat na verzi 11.0.0, 10.1.31 nebo 9.0.96.
• Pokud používáte vlastní Jakarta Authentication ServerAuthContext, ujistěte se, že v případě výjimky vždy explicitně nastavuje odpovídající HTTP status pro neúspěch autentizace.
• Monitorujte bezpečnostní fóra pro případné další informace a aktualizace.

URL zdroje

• Openwall – OSS Security
• Apache Security Thread
• NetApp Security Advisory

CVE-2022-25927 DoS (Denial of Service) ua-parser.js Dependency in Crowd Data Center

Popis zranitelnosti

Zranitelnost Regular Expression Denial of Service (ReDoS) v balíčku ua-parser-js. Ovlivněné verze:

• 0.7.30 až (ne včetně) 0.7.33
• 0.8.1 až (ne včetně) 1.0.33

Tato zranitelnost se týká funkce trim(), která může být zneužita k vyvolání útoku typu ReDoS, což může vést k výraznému zpomalení nebo selhání aplikace kvůli neefektivnímu zpracování regulárních výrazů.

Hodnocení CVSS

• NIST (NVD): 7.5 (HIGH) – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
• Snyk: 5.3 (MEDIUM) – CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Hodnocení se liší mezi zdroji, ale v nejhorším případě může zranitelnost způsobit vysoké zatížení systému a výpadky služby.

Doporučení

• Aktualizujte balíček ua-parser-js na verzi 0.7.33 nebo 1.0.33.
• Pokud aktualizace není možná, zamezte vstupům, které by mohly zneužít regulární výrazy v daném balíčku.
• Monitorujte bezpečnostní fóra pro další aktualizace a doporučení.

URL zdroje

• Patch – GitHub Commit
• Snyk Security Advisory