关键词
安全漏洞
Atlassian 已经发布了针对二十多个安全漏洞的补丁,其中包括一个影响 Bamboo Data Center and Server 的严重漏洞,该漏洞无需用户交互即可被利用。
该漏洞被跟踪为 CVE-2024-1597,CVSS 评分为 10.0,表明最高严重性。
它被描述为SQL注入缺陷,它植根于一个名为org.postgresql:postgresql的依赖项,因此该公司表示,尽管存在严重性,但它“提供了较低的评估风险”。
“这个org.postgresql:postgresql依赖漏洞[...]可能允许未经身份验证的攻击者暴露环境中容易被利用的资产,这对机密性、完整性影响大、可用性影响大,并且不需要用户交互,“Atlassian 说。
根据 NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述,“pgjdbc,即 PostgreSQL JDBC 驱动程序,允许攻击者在使用 PreferQueryMode=SIMPLE 时注入 SQL。下面列出的驱动程序版本之前的驱动程序版本会受到影响 -
-
42.7.2
-
42.6.1
-
42.5.5
-
42.4.4
-
42.3.9 和
-
42.2.28(也在 42.2.28.jre7 中修复)
“当将非默认连接属性preferQueryMode=simple与具有弱化SQL的应用程序代码结合使用时,SQL注入是可能的,该应用程序代码会否定参数值,”维护者在上个月的一份公告中说。
“使用默认查询模式时,驱动程序中没有漏洞。不覆盖查询模式的用户不受影响。
据说 Atlassian 漏洞已在以下版本的 Bamboo Data Center and Server 中引入 -
-
8.2.1
-
9.0.0
-
9.1.0
-
9.2.1
-
9.3.0
-
9.4.0 和
-
9.5.0
该公司还强调,Bamboo 和其他 Atlassian Data Center 产品不受 CVE-2024-1597 的影响,因为它们在 SQL 数据库连接设置中不使用 PreferQueryMode=SIMPLE。
SonarSource 安全研究员 Paul Gerste 因发现并报告该漏洞而受到赞誉。建议用户将其实例更新到最新版本,以防止任何潜在威胁。
END
原文始发于微信公众号(安全圈):【安全圈】最新,Atlassian 发布了多个缺陷的修复程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论