Xakep #305. Многошаговые SQL-инъекции
Компания Atlassian выпустила патчи для четырех критических уязвимостей, затрагивающих Confluence, Jira и Bitbucket, а также приложение-компаньон для macOS. Все баги позволяют добиться удаленного выполнения произвольного кода.
Согласно внутренней оценке Atlassian, все устраненные проблемы получили рейтинг критических (как минимум 9 баллов из 10 возможных). Об эксплуатации свежих уязвимостей хакерами ничего не сообщается, однако, учитывая популярность продуктов Atlassian и их широкое распространение в корпоративных средах, системным администраторам рекомендуется как можно скорее установить обновления.
Обнаруженные уязвимости получили следующие идентификаторы:
- CVE-2023-22522 — template-инъекция, позволяющая аутентифицированным пользователям, в том числе с анонимным доступом, вводить небезопасные данные на страницу Confluence. Затрагивает все версии Confluence Data Center и Server с 4.0.0 и до 8.5.3.
- CVE-2023-22523 — привилегированная RCE в агенте Assets Discovery, затрагивающая Jira Service Management Cloud, Server и Data Center. Представляет опасность для Asset Discovery версии ниже 3.2.0 для Cloud и 6.2.0 для Data Center и Server.
- CVE-2023-22524 — обход блок-листа и macOS Gatekeeper в приложении-компаньоне Confluence Server и Data Center для macOS. Затрагивает все версии приложения до 2.0.0.
- CVE-2022-1471 — RCE в библиотеке SnakeYAML, затрагивающая множество версий Jira, Bitbucket и Confluence.
Для устранения всех четырех перечисленных выше проблем пользователям рекомендуется обновить продукты до одной из следующих версий:
- Confluence Data Center и Server до версий 7.19.17 (LTS), 8.4.5 и 8.5.4 (LTS);
- Jira Service Management Cloud (Assets Discovery) до 3.2.0 или более поздней версии, а также Jira Service Management Data Center and Server (Assets Discovery) до 6.2.0 или более поздней версии.
- Atlassian Companion App для MacOS до версии 2.0.0 или более поздней;
- Automation for Jira (A4J) Marketplace App до 9.0.2 и 8.2.4;
- Bitbucket Data Center и Server до 7.21.16 (LTS), 8.8.7, 8.9.4 (LTS), 8.10.4, 8.11.3, 8.12.1, 8.13.0, 8.14.0, 8.15.0 (только Data Center) и 8.16.0 (только Data Center);
- Confluence Cloud Migration App (CCMA) до 3.4.0;
- Jira Core Data Center and Server, Jira Software Data Center and Server до 9.11.2, 9.12.0 (LTS) и 9.4.14 (LTS);
- Jira Service Management Data Center and Server до 5.11.2, 5.12.0 (LTS) и 5.4.14 (LTS).
Если удаление агентов Asset Discovery для применения патча для CVE-2023-22523 в данный момент невозможно, Atlassian предлагает временно заблокировать порт, используемый для связи с агентами (51337 по умолчанию).
Если невозможно установить патч для CVE-2023-22522, обходного способа решения проблемы нет, и Atlassian рекомендует создать резервные копии затронутых экземпляров и перевести их в автономный режим.
Если администраторы не могут установить патч для CVE-2023-22524, компания рекомендует вообще удалить приложение-компаньон.