Jira, Bamboo, Bitbucket, Confluence, Fisheye/Pota ve Confluence için Sorular etkilendi
Atlassian, Confluence için Sorular’da kodlanmış bir kimlik bilgisi kusurunu ve diğer birçok üründe sunucu uygulaması filtresi atlamalarını ele aldı.
Avustralyalı yazılım geliştirme ve işbirliği araçları satıcısı, dün (20 Temmuz) güncellemeleri ve azaltmaları uygulamak için talimatlar içeren güvenlik uyarıları yayınladı.
Sunucu uygulaması filtresi atlamaları
Sunucu uygulaması filtresi atlama kusurları, Bamboo Server ve Data Center, Bitbucket Server ve Data Center, Confluence Server and Data Center, Crowd Server ve Data Center, Fisheye and Crucible, Jira Server ve Data Center ve Jira Service Management Server ve Data’nın birden çok sürümünü etkiler. Merkez.
Atlassian Cloud sitelerine düzeltmeler dağıtıldı.
Servlet filtreleri, bir istemci isteği bir arka uç kaynağına gönderilmeden önce ve bir arka uç kaynağından bir istemciye gönderilmeden önce HTTP isteklerini yakalar ve işler.
CVE-2022-26136 olarak izlenen bir güvenlik açığı, kimliği doğrulanmamış bir saldırganın henüz belirtilmemiş birinci ve üçüncü taraf uygulamalar tarafından kullanılan sunucu uygulaması filtrelerini atlamasına izin verdi.
Atlassian, etkinin, bir uygulamanın hangi filtreleri kullandığına ve nasıl kullanıldığına bağlı olduğunu söyledi.
En son güvenlik açığı haberlerini yakalayın
Güvenlik danışma belgesinde, “Atlassian, bu güvenlik açığının temel nedenini gideren güncelleştirmeler yayımladı, ancak olası tüm sonuçları ayrıntılı bir şekilde sıralamadı” diyor.
Atlassian, kimliği doğrulanmamış saldırganların, özel sunucu uygulaması filtrelerini ve kimlik doğrulamasını zorlamak için üçüncü taraf uygulamalar tarafından kullanılan kimlik doğrulamayı atlamak veya meşru Atlassian Gadget’larını doğrulamak ve siteler arası komut dosyası çalıştırmayı (XSS) gerçekleştirmek için kullanılan sunucu uygulaması filtresini atlamak için özel olarak hazırlanmış bir HTTP isteği gönderebileceğini belirledi. .
Başka bir güvenlik açığı, kimliği doğrulanmamış bir saldırganın, uygulama istekleri veya yanıtları işlerken ek sunucu uygulaması filtrelerinin çalıştırılmasına neden olmasına izin verir (CVE-2022-26137).
Atlassian, bilinen tek ilgili güvenlik sorununu ele aldığını söyledi – özel hazırlanmış bir HTTP isteğinin CORS isteklerine yanıt vermek için kullanılan sunucu uygulaması filtresini çağırabileceği bir çapraz kaynak paylaşımı (CORS) baypası.
Confluence için Sorular
Kurumsal wiki platformu Confluence için forum tarzı bir uygulama olan Questions for Confluence’daki sabit kodlanmış kimlik bilgisi, yöneticilerin uygulamadan Confluence Cloud’a veri taşımasını destekleyen kullanıcı adıyla bir kullanıcı hesabı için oluşturulur.
Hesap “varsayılan olarak Confluence içindeki tüm kısıtlanmamış sayfaların görüntülenmesine ve düzenlenmesine izin veren confluence-users grubuna eklenir”, ilgili güvenlik tavsiyesini okur.
“Sabit kodlanmış parola bilgisine sahip, uzak, kimliği doğrulanmamış bir saldırgan, Confluence’ta oturum açmak ve confluence-users grubunun erişimi olan tüm sayfalara erişmek için bundan yararlanabilir.”
Atlassian, “Atlassian, bu sorunun vahşi ortamda istismar edildiğine dair herhangi bir rapor almamış olsa da, sabit kodlanmış parolayı elde etmek önemsizdir” dedi.
Kusur (CVE-2022-26138), Confluence Sunucusu veya Veri Merkezi’nde Confluence için Sorular uygulaması etkinleştirildiğinde geçerlidir. Confluence Cloud etkilenmez.
Atlassian, Questions for Confluence uygulamasının kaldırılmasının, güvenlik açığını tek başına düzeltmeyeceği konusunda uyardı, çünkü do yapmak hesabı kaldırmaz.
Bunun yerine, kullanıcılar bu hesapları manuel olarak devre dışı bırakmalı veya silmeli veya Confluence için Soruları 2.7.38 veya 3.0.5 sürümüne güncellemelidir, bu da söz konusu kullanıcı hesabını oluşturmayı durdurmanın yanı sıra kaldırır.
Kullanıcılar, son oturum açma zamanlarını gözden geçirerek, örneklerinde kusurdan yararlanılıp yararlanılmadığını belirleyebilirler. Atlassian, “Son kimlik doğrulama zamanı boşsa, bu, hesabın var olduğu ancak hiç kimsenin oturum açmadığı anlamına gelir” dedi.
İLİŞKİLİ Microsoft Teams güvenlik açığı, kullanıcıları kusurlu çıkartmalar özelliği aracılığıyla XSS’ye açık bıraktı