Zranitelnost Jira a Confluence Data Center a Server (CVE-2024-1597)
Shrnutí zranitelnosti
SQLi (SQL Injection) org.postgresql:postgresql Dependency in Jira Software Data Center and Server + Confluence Data Center and Server
Tento bezpečnostní (CVE-2024-1597) problém má nižší hodnocené riziko podle Atlassianu, a proto je zveřejněn jen v Měsíčním zpravodaji o zabezpečení, viz. https://confluence.atlassian.com/security/security-bulletin-may-21-2024-1387867145.html
Detail k nálezu https://nvd.nist.gov/vuln/detail/CVE-2024-1597
Řešení Jira
Tato zranitelnost závislosti org.postgresql:postgresql s kritickou závažností byla nalezena ve verzích 9.0.0, 9.1.0, 9.2.0, 9.3.0, 9.4.0, 9.5.0, 9.6.0, 9.7.0, 9.8.0, 9.9.0, 9.10.0, 9.11.0, 9.12.0, 9.13.0 a 9.14.0 Jira Software Data Center a Server. Jira Software Data Center není touto zranitelností ovlivněna, protože nepoužívá PreferQueryMode=SIMPLE ve svých nastaveních připojení k SQL databázi.Tato zranitelnost závislosti org.postgresql:postgresql s kritickou závažností byla zavedena ve verzích 9.0.0, 9.1.0, 9.2.0, 9.3.0, 9.4.0, 9.5.0, 9.6.0, 9.7.0, 9.8.0, 9.9.0, 9.10.0, 9.11.0, 9.12.0, 9.13.0 a 9.14.0 Jira Software Data Center a Server. Jira Software Data Center není touto zranitelností ovlivněn, protože nepoužívá PreferQueryMode=SIMPLE ve svých nastaveních připojení k SQL databázi.
Tato zranitelnost závislosti org.postgresql:postgresql, s CVSS skóre 9.8 a CVSS vektorem CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, umožňuje neautentizovanému útočníkovi odhalit aktiva ve vašem prostředí náchylná k zneužití, což má vysoký dopad na důvěrnost, vysoký dopad na integritu, vysoký dopad na dostupnost a nevyžaduje žádnou interakci uživatele.
Atlassian doporučuje, aby zákazníci Jira Software Data Center a Server aktualizovali na nejnovější verzi. Pokud tak nemůžete učinit, aktualizujte svou instanci na jednu z uvedených podporovaných opravených verzí:
| Affected versions | Fixed versions |
|---|---|
| 9.15.0 to 9.15.1 | 9.15.2 Data Center Only |
| 9.14.0 | 9.15.2 Data Center Only |
| 9.13.0 | 9.15.2 Data Center Only |
| 9.12.0 to 9.12.5 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended |
| 9.11.0 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended |
| 9.10.0 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended |
| 9.9.0 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended |
| 9.8.0 to 9.8.2 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended |
| 9.7.0 to 9.7.2 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended |
| 9.6.0 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended |
| 9.5.0 to 9.5.1 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended |
| 9.4.0 to 9.4.18 LTS | 9.15.2 Data Center Only or 9.12.6 LTS Recommended or 9.4.19 LTS |
| 9.3.0 to 9.3.3 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended or 9.4.19 LTS |
| 9.2.0 to 9.2.1 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended or 9.4.19 LTS |
| 9.1.0 to 9.1.1 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended or 9.4.19 LTS |
| 9.0.0 | 9.15.2 Data Center Only or 9.12.6 LTS Recommended or 9.4.19 LTS |
| Any earlier versions | 9.15.2 Data Center Only or 9.12.6 LTS Recommended or 9.4.19 LTS |
Zdroj viz https://jira.atlassian.com/browse/JSWSERVER-25896
Řešení Confluence
Tato zranitelnost závislosti org.postgresql:postgresql s kritickou závažností byla nalezena ve verzích 6.0.1 Confluence Data Center a Server. Confluence Data Center není touto zranitelností ovlivněna, protože nepoužívá parametr PreferQueryMode=SIMPLE, který je vyžadován pro tuto zranitelnost v nastavení připojení k SQL databázi. Ačkoli je výchozí konfigurace bezpečná, zranitelnost zůstává v driveru, který je součástí Confluence.
Tato zranitelnost závislosti org.postgresql:postgresql, s CVSS skóre 9.8 a CVSS vektorem CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, umožňuje neautentizovanému útočníkovi odhalit aktiva ve vašem prostředí náchylná k zneužití, což má vysoký dopad na důvěrnost, vysoký dopad na integritu, vysoký dopad na dostupnost a nevyžaduje žádnou interakci uživatele.
Confluence Data Center
Atlassian doporučuje, aby zákazníci Confluence Data Center aktualizovali na nejnovější verzi. Pokud nemůžete tak učinit, aktualizujte svou instanci na jednu z uvedených podporovaných opravených verzí:
| Affected versions | Fixed versions |
|---|---|
| 8.9.0 | 8.9.1 |
| from 8.8.0 to 8.8.1 | 8.9.1 |
| from 8.7.0 to 8.7.2 | 8.9.1 |
| from 8.6.0 to 8.6.2 | 8.9.1 |
| from 8.5.0 to 8.5.7 LTS | 8.9.1 or 8.5.9 LTS recommended |
| from 8.4.0 to 8.4.5 | 8.9.1 or 8.5.9 LTS recommended |
| from 8.3.0 to 8.3.4 | 8.9.1 or 8.5.9 LTS recommended |
| from 8.2.0 to 8.2.3 | 8.9.1 or 8.5.9 LTS recommended |
| from 8.1.0 to 8.1.4 | 8.9.1 or 8.5.9 LTS recommended |
| from 8.0.0 to 8.0.4 | 8.9.1 or 8.5.9 LTS recommended |
| from 7.20.0 to 7.20.3 | 8.9.1 or 8.5.9 LTS recommended |
| from 7.19.0 to 7.19.21 LTS | 8.9.1 or 8.5.9 LTS recommended or 7.19.22 LTS |
| from 7.18.0 to 7.18.3 | 8.9.1 or 8.5.9 LTS recommended or 7.19.22 LTS |
| from 7.17.0 to 7.17.5 | 8.9.1 or 8.5.9 LTS recommended or 7.19.22 LTS |
| Any earlier versions | 8.9.1 or 8.5.9 LTS recommended or 7.19.22 LTS |
Confluence Server
Atlassian recommends that Confluence Server customers upgrade to the latest version. If you are unable to do so, upgrade your instance to one of the specified supported fixed versions:
| Affected versions | Fixed versions |
|---|---|
| from 8.5.0 to 8.5.8 LTS | 8.5.9 LTS recommended |
| from 8.4.0 to 8.4.5 | 8.5.9 LTS recommended |
| from 8.3.0 to 8.3.4 | 8.5.9 LTS recommended |
| from 8.2.0 to 8.2.3 | 8.5.9 LTS recommended |
| from 8.1.0 to 8.1.4 | 8.5.9 LTS recommended |
| from 8.0.0 to 8.0.4 | 8.5.9 LTS recommended |
| from 7.20.0 to 7.20.3 | 8.5.9 LTS recommended |
| from 7.19.0 to 7.19.21 LTS | 8.5.9 LTS recommended or 7.19.22 LTS |
| from 7.18.0 to 7.18.3 | 8.5.9 LTS recommended or 7.19.22 LTS |
| from 7.17.0 to 7.17.5 | 8.5.9 LTS recommended or 7.19.22 LTS |
| Any earlier versions | 8.5.9 LTS recommended or 7.19.22 LTS |
Zdroj viz https://jira.atlassian.com/browse/CONFSERVER-95837
Sdílejte