CVE-2024-1597 verilen ve şiddeti 10.0 (Kritik) olarak verilen kritik bir güvenlik açığı ile Bamboo Veri Merkezi ve Sunucusu'nda kritik bir güvenlik açığı keşfedildi.
Bu güvenlik açığının Atlassian olmayan bir Bambu bağımlılığı olduğu Atlassian tarafından özellikle belirtilmiştir.
“Atlassian'ın bağımlılığı uygulaması daha düşük bir risk olarak değerlendiriliyor; bu nedenle bu güvenlik açığını Kritik Güvenlik Tavsiyesi yerine aylık Güvenlik Bültenimizde açıklıyoruz. ” Atlassian'ın güvenlik bültenini okuyor.
Bunun yanı sıra, Bitbucket Veri merkezi ve sunucusu, Confluence veri merkezi ve sunucusu ve Jira Yazılım Veri merkezi ve sunucusu gibi diğer birçok üründe Atlassian tarafından düzeltilen 24 güvenlik açığı daha vardı.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Düzeltilen güvenlik açıkları, Hizmet Reddi, Yol Geçişi, Uzaktan Kod yürütme ve Sunucu Tarafı İstek Sahteciliği gibi çeşitli kusurlarla ilgiliydi.
Atlassian Yamaları 24 Kusur
Cyber Security News ile paylaşılan raporlara göre, Bamboo Veri Merkezi ve Sunucusundaki kritik güvenlik açığı, org.postgresql:postgresql bağımlılığındaki SQLi (SQL enjeksiyonu) ile ilişkilendirildi.
Bu güvenlik açığı, bir tehdit aktörünün güvenlik açığı bulunan ortamdaki varlıkları herhangi bir kullanıcı etkileşimi olmadan açığa çıkarmasına olanak tanıyabilir.
Ancak Atlassian, bunun Atlassian için düşük riskle değerlendirilen “kullanılamaz Kritik önem derecesine sahip bir güvenlik açığı” olduğunu iddia etti.
Bu güvenlik açığı, Bamboo Data Center and Server'ın 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 ve 9.5.0 sürümlerinde mevcuttur.
| Etkilenen sürümler | Sabit versiyonlar |
| 9.5.0'dan 9.5.1'e | 9.6.0 (LTS) Önerilen Yalnızca Veri Merkezi veya 9.5.2 Yalnızca Veri Merkezi |
| 9.4.0'dan 9.4.3'e | 9.6.0 (LTS) Önerilen Yalnızca Veri Merkezi veya 9.5.2 Yalnızca Veri Merkezi veya 9.4.4 |
| 9.3.0'dan 9.3.6'ya | 9.6.0 (LTS) Önerilen Yalnızca Veri Merkezi veya 9.5.2 Yalnızca Veri Merkezi veya 9.4.4 |
| 9.2.0'dan 9.2.11'e (LTS) | 9.6.0 (LTS) Önerilen Yalnızca Veri Merkezi veya 9.5.2 Yalnızca Veri Merkezi veya 9.4.4 veya 9.2.12 (LTS) |
| 9.1.0'dan 9.1.3'e | 9.6.0 (LTS) Önerilen Yalnızca Veri Merkezi veya 9.5.2 Yalnızca Veri Merkezi veya 9.4.4 veya 9.2.12 (LTS) |
| 9.0.0'dan 9.0.4'e | 9.6.0 (LTS) Önerilen Yalnızca Veri Merkezi veya 9.5.2 Yalnızca Veri Merkezi veya 9.4.4 veya 9.2.12 (LTS) |
| 8.2.0'dan 8.2.9'a | 9.6.0 (LTS) Önerilen Yalnızca Veri Merkezi veya 9.5.2 Yalnızca Veri Merkezi veya 9.4.4 veya 9.2.12 (LTS) |
| Daha önceki sürümler | 9.6.0 (LTS) Önerilen Yalnızca Veri Merkezi veya 9.5.2 Yalnızca Veri Merkezi veya 9.4.4 veya 9.2.12 (LTS) |
Bunun dışında, Atlassian tarafından, Bambu Veri Merkezi ve Sunucusunda hizmet reddi ile ilişkilendirilen yüksek önem derecesine sahip başka bir güvenlik açığı daha vardı.
Bu DoS güvenlik açığı, soft.amazon.ion:ion-java dosyasında mevcuttur ve CVE'ye, önem derecesi 7,8 olan CVE-2024-21634 atanmıştır (Yüksek).
Atlassian'ın güvenlik bülteninde, Bambu Veri Merkezi ve Sunucudaki aynı DoS CVE güvenlik açığına sahip başka bir Hizmet Reddi güvenlik açığının yamandığı Bitbucket Veri merkezi hakkında belirtilen ek bilgiler.
Ancak Confluence Veri Merkezi ve Sunucu ürününde, bu güvenlik bülteninin bir parçası olarak giderilen Yol Geçişi ve Hizmet Reddi güvenlik açıkları vardı.
Bu güvenlik açıklarına ilişkin CVE'ler, CVE-2024-21677 (8,3 – Yüksek) ve CVE-2023-36478 (7,5 – Yüksek) olarak verildi.
Jira Yazılım Veri Merkezi ve Sunucusu da 20'ye yakın güvenlik açığının giderildiği ürünlerden biri oldu. Bu güvenlik açıkları arasında neredeyse şunlar vardı:
- 3 Uzaktan Kod Yürütme güvenlik açığı (CVE-2022-42890, CVE-2022-41704, CVE-2022-34169)
- 1 Sunucu Tarafı İstek Sahteciliği güvenlik açığı (CVE-2022-40146) ve
- 17 Hizmet Reddi güvenlik açıkları.
- CVE-2022-40150
- CVE-2023-34455
- CVE-2023-1436
- CVE-2022-45685
- CVE-2022-29546
- CVE-2022-40149
- CVE-2023-39410
- CVE-2023-34454
- CVE-2023-34453
- CVE-2023-43642
- CVE-2022-3509
- CVE-2022-3171
- CVE-2023-5072
- CVE-2022-45688
- CVE-2022-24839
- CVE-2022-28366
Ayrıca sabit versiyonlara ve diğer bilgilere Atlassian'ın güvenlik bülteninde ulaşılabilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.