最新,Atlassian 发布了多个缺陷的修复程序

admin 2024年3月21日23:52:11评论8 views字数 925阅读3分5秒阅读模式

最新,Atlassian 发布了多个缺陷的修复程序

关键词

安全漏洞

Atlassian 已经发布了针对二十多个安全漏洞的补丁,其中包括一个影响 Bamboo Data Center and Server 的严重漏洞,该漏洞无需用户交互即可被利用。

该漏洞被跟踪为 CVE-2024-1597,CVSS 评分为 10.0,表明最高严重性。

它被描述为SQL注入缺陷,它植根于一个名为org.postgresql:postgresql的依赖项,因此该公司表示,尽管存在严重性,但它“提供了较低的评估风险”。

“这个org.postgresql:postgresql依赖漏洞[...]可能允许未经身份验证的攻击者暴露环境中容易被利用的资产,这对机密性、完整性影响大、可用性影响大,并且不需要用户交互,“Atlassian

根据 NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述,“pgjdbc,即 PostgreSQL JDBC 驱动程序,允许攻击者在使用 PreferQueryMode=SIMPLE 时注入 SQL。下面列出的驱动程序版本之前的驱动程序版本会受到影响 -

  • 42.7.2

  • 42.6.1

  • 42.5.5

  • 42.4.4

  • 42.3.9 和

  • 42.2.28(也在 42.2.28.jre7 中修复)

“当将非默认连接属性preferQueryMode=simple与具有弱化SQL的应用程序代码结合使用时,SQL注入是可能的,该应用程序代码会否定参数值,”维护者在上个月的一份公告中说。

“使用默认查询模式时,驱动程序中没有漏洞。不覆盖查询模式的用户不受影响。

据说 Atlassian 漏洞已在以下版本的 Bamboo Data Center and Server 中引入 -

  • 8.2.1

  • 9.0.0

  • 9.1.0

  • 9.2.1

  • 9.3.0

  • 9.4.0 和

  • 9.5.0

该公司还强调,Bamboo 和其他 Atlassian Data Center 产品不受 CVE-2024-1597 的影响,因为它们在 SQL 数据库连接设置中不使用 PreferQueryMode=SIMPLE。

SonarSource 安全研究员 Paul Gerste 因发现并报告该漏洞而受到赞誉。建议用户将其实例更新到最新版本,以防止任何潜在威胁。

   END  

原文始发于微信公众号(安全圈):【安全圈】最新,Atlassian 发布了多个缺陷的修复程序

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月21日23:52:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   最新,Atlassian 发布了多个缺陷的修复程序https://cn-sec.com/archives/2593577.html

发表评论

匿名网友 填写信息