Atlassian geçtiğimiz Cuma günü üç uzaktan kod yürütme (RCE) güvenlik açığı için düzeltmeler duyurdu.
Üç hata, yalnızca kimliği doğrulanmış kullanıcılar tarafından istismar edilebildiğinden, kritik önem derecesinden ziyade yüksek olarak derecelendirilir.
Şirketin bug bounty programında keşfedilen CVE-2023-22505, CVSS puanı 8’dir ve Confluence veri merkezi ve sunucu ürünlerinin 8.0.0 sürümünde kullanıma sunulmuştur.
Saldırganın kullanıcı etkileşimi olmadan rasgele kod yürütmesine izin veren bir RCE’dir.
Kullanıcıların bulut sunucularını en son sürüme yükseltmeleri önerilir. Yapamazlarsa, düzeltmeyi içeren 8.3.2 veya 8.4.0’a yükseltebilirler.
CVE-2023-22508, CVE-2023-22505 ile aynı etkiye sahip başka bir RCE’dir, Confluence veri merkezi ve sunucu 7.4.0’da tanıtılmıştır ve ayrıca Atlassian’ın hata ödülü aracılığıyla bildirilmiştir.
En son sürüme yükseltme yapamayan kullanıcılar, düzeltmeyi içeren 8.2.0 sürümünü kullanabilir.
Son olarak, özel sızma testinde keşfedilen Bamboo’da bir RCE olan CVE-2023-22506 var.
Bu RCE, Bamboo veri merkezi 8.0.0’da tanıtıldı: “Atlassian, bulut sunucunuzu en son sürüme yükseltmenizi önerir. En son sürüme yükseltemiyorsanız, şu sabit sürümlerden birine yükseltin: 9.2.3 ve 9.3.1,” uyarısında belirtildi.
Şirketin tavsiyeleri, Atlassian’ın kısa süre önce açıklamalarının kapsamını genişlettiğine dikkat çekti: “Daha önce, kritik tavsiyeler aracılığıyla birinci taraf, kritik önem derecesindeki güvenlik açıklarını ifşa etmeye odaklanmıştık.”
Şimdi daha düşük dereceli güvenlik açıklarının da ifşa edilmesi gerektiğine karar verdi, ancak “bu, daha fazla güvenlik açığı olduğu anlamına gelmiyor” dedi.
Şirket, “Bunun yerine, güvenlik açığı şeffaflığına daha proaktif bir yaklaşım izliyoruz ve müşterilerimize ürünlerimizi güncelleme konusunda bilinçli kararlar vermeleri için ihtiyaç duydukları bilgileri sağlamaya kararlıyız” dedi.