Atlassian, Confluence, Jira ve Bitbucket sunucularını etkileyen dört kritik uzaktan kod yürütme (RCE) güvenlik açığına yönelik güvenlik önerilerinin yanı sıra macOS için bir yardımcı uygulama yayınladı.
Atlassian’ın dahili değerlendirmesine göre ele alınan tüm güvenlik sorunları, 10 üzerinden en az 9,0 kritik önem puanı aldı. Ancak şirket, şirketlere uygulanabilirliği BT ortamlarına göre değerlendirmelerini tavsiye ediyor.
Şirket, güvenlik sorunlarının hiçbirinin vahşi ortamda istismar edildiğini belirtmedi. Ancak Atlassian ürünlerinin popülerliği ve kurumsal ortamlardaki kapsamlı dağıtımı nedeniyle sistem yöneticilerinin mevcut güncellemeleri uygulamaya öncelik vermesi gerekir.
Bu ay ele alınan dört RCE güvenlik açığı kümesi aşağıdaki tanımlayıcıları aldı:
- CVE-2023-22522: Anonim erişime sahip olanlar da dahil olmak üzere kimliği doğrulanmış kullanıcıların bir Confluence sayfasına (kritik, 9,0 önem derecesi puanıyla) güvenli olmayan girdiler eklemesine olanak tanıyan şablon ekleme hatası. Kusur, 4.0.0’dan sonraki ve 8.5.3’e kadar olan tüm Confluence Veri Merkezi ve Sunucu sürümlerini etkiliyor.
- CVE-2023-22523: Jira Hizmet Yönetimi Bulutu, Sunucusu ve Veri Merkezini etkileyen Varlık Keşif aracısında ayrıcalıklı RCE (kritik, 9,8 önem derecesi puanıyla). Savunmasız Varlık Keşfi sürümleri, Bulut için 3.2.0’ın ve Veri Merkezi ve Sunucu için 6.2.0’ın altındadır.
- CVE-2023-22524: MacOS için Confluence Server ve Data Center’a yönelik yardımcı uygulamada engelleme listesinin ve macOS Gatekeeper’ın atlanması, uygulamanın 2.0.0’dan önceki tüm sürümlerini etkiler (kritik, 9,6 önem derecesi puanıyla).
- CVE-2022-1471: SnakeYAML kütüphanesindeki RCE, Jira, Bitbucket ve Confluence ürünlerinin birden fazla sürümünü etkiliyor (kritik, 9,8 önem derecesi puanıyla).
Yukarıdaki sorunların dördünü de çözmek için kullanıcıların aşağıdaki ürün sürümlerinden birine güncelleme yapması önerilir:
- Confluence Veri Merkezi ve Sunucu 7.19.17 (LTS), 8.4.5 ve 8.5.4 (LTS)
- Jira Service Management Cloud (Assets Discovery) 3.2.0 veya üzeri ve Jira Service Management Data Center and Server (Assets Discovery) 6.2.0 veya üzeri.
- MacOS 2.0.0 veya üzeri için Atlassian Companion Uygulaması
- Jira (A4J) Marketplace Uygulaması 9.0.2 ve 8.2.4 için Otomasyon
- Bitbucket Veri Merkezi ve Sunucu 7.21.16 (LTS), 8.8.7, 8.9.4 (LTS), 8.10.4, 8.11.3, 8.12.1, 8.13.0, 8.14.0, 8.15.0 (Yalnızca Veri Merkezi) ) ve 8.16.0 (Yalnızca Veri Merkezi)
- Confluence Bulut Geçiş Uygulaması (CCMA) 3.4.0
- Jira Çekirdek Veri Merkezi ve Sunucusu, Jira Yazılım Veri Merkezi ve Sunucusu 9.11.2, 9.12.0 (LTS) ve 9.4.14 (LTS)
- Jira Hizmet Yönetimi Veri Merkezi ve Sunucusu 5.11.2, 5.12.0 (LTS) ve 5.4.14 (LTS)
CVE-2023-22523 yamasını uygulamak için Asset Discovery aracılarını kaldırmak şu anda mümkün değilse veya ertelenmesi gerekiyorsa Atlassian, aracılarla iletişim için kullanılan bağlantı noktasının (varsayılan olarak 51337) engellenmesini içeren geçici bir azaltma sağlar.
CVE-2023-22522 durumunda herhangi bir hafifletme çözümü yoktur. Yöneticiler yamayı hemen uygulayamazsa Atlassian, yöneticilere etkilenen örnekleri yedeklemelerini ve çevrimdışına almalarını önerir.
Yöneticiler CVE-2023-22524 yamasını uygulayamazsa şirket, Atlassian Companion Uygulamasının kaldırılmasını önerir.