聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
所有漏洞均为严重级别漏洞,根据 Atlassian 公司的内部评估CVSS评分至少都是9分。不过,Atlassian 公司建议企业根据自身的IT环境评估修复方案的适用性。
Atlassian 公司指出,这些公司均未遭在野利用。然而,鉴于 Atlassian 公司产品的热门程度以及在企业环境中大量部署,系统管理员应当优先应用可用的更新。该公司本月修复的四个 RCE 漏洞如下:
-
CVE-2023-22522:模板注入漏洞可导致认证用户,包括具有匿名访问权限的用户,将不安全的输入注入 Confluence 页面(严重级别,严重性评分9分)。该漏洞影响所有4.0.0之后至8.5.3的 Confluence Data Center 和 Server 版本。
-
CVE-2023-22523:Assets Discovery 代理中存在提权 RCE 漏洞,影响 Jira Service Management Cloud、Server 和 Data Center(严重级别,严重性为9.8)。易受攻击的 Asset Discovery 版本是Cloud 3.2.0以下和 Data Center and Server 6.2.0版本。
-
CVE-2023-22524:绕过拦截列表和 Confluence Server and Data Center 的macOS 版 Companion app 上的 macOS Gatekeeper,影响所有早于2.0.0版本之前的 app(严重级别,严重性评分9.6)。
-
CVE-2022-1471:位于 SnakeYAML 库中的RCE漏洞,影响 Jira、Bitbucket 和 Confluence 产品的多个版本(严重级别,严重性评分9.8)。
要修复以上所有四个漏洞,建议用户更新至如下任一产品版本:
-
Confluence Data Center and Server 7.19.17 (LTS)、8.4.5和8.5.4 (LTS)。
-
Jira Service Management Cloud (Assets Discovery) 3.2.0 或后续版本以及Jira Service Management Data Center and Server (Assets Discovery) 6.2.0 或后续版本。
-
Atlassian Companion App for MacOS 2.0.0 或后续版本。
-
Automation for Jira (A4J) Marketplace App 9.0.2 和 8.2.4。
-
Bitbucket Data Center and Server 7.21.16 (LTS)、8.8.7、8.9.4 (LTS)、 8.10.4、8.11.3、8.12.1、8.13.0、8.14.0、8.15.0 (Data Center Only)和 8.16.0 (Data Center Only)。
-
Confluence Cloud Migration App (CCMA) 3.4.0。
-
Jira Core Data Center and Server、Jira Software Data Center and Server 9.11.2、9.12.0 (LTS) 和9.4.14 (LTS)。
-
Jira Service Management Data Center and Server 5.11.2, 5.12.0 (LTS) 和5.4.14 (LTS)。
如目前无法卸载 Asset Discovery 代理应用 CVE-2023-22523的补丁或必须延迟,则Atlassian 公司提供了一项临时的缓解措施,可拦截用于与代理通信的端口,该端口默认为51337。
对于CVE-2023-22522而言,不存在缓解措施。如管理员无法立即应用补丁,则 Atlassian 公司建议管理员备份受影响的实例并将其下线。如管理员无法应用CVE-2023-22524的补丁,则公司建议卸载 Atlassian Companion App。
Atlassian 提醒注意严重的 Confluence 漏洞,可导致数据丢失
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Atlassian 修复多款产品中的多个严重RCE漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论