Atlassian-ը թողարկում է ծրագրային ապահովման կարևոր շտկումներ

Atlassian-ը թողարկել է ծրագրային համապատասխան շտկումներ՝ իր ծրագրային ապահովման չորս կրիտիկական խոցելիությունների վերացման համար, որոնք հաջողությամբ շահագործվել են remote access ստանալու համար:

Խոցելիության ցանկը հետևյալն է՝

• CVE-2022-1471 (CVSS-ում միավորը՝ 9.8) – Ապասերիալիզացիայի խոցելիություն SnakeYAML գրադարանում
• CVE-2023-22522 (CVSS-ում միավորը՝ 9.0) – Remote code-ի կատարման խոցելիություն՝ Confluence Data Center-ում և Confluence Server-ում
• CVE-2023-22523 (CVSS-ում միավորը՝ 9.8) – Remote code-ի կատարման խոցելիություն Assets Discovery-ում
• CVE-2023-22524 (CVSS-ում միավորը՝ 9.6) – Remote code-ի կատարման խոցելիություն Atlassian Companion-ում:

Assets Discovery-ի խոցելիությունը հաքերներին թույլ է տալիս remote մուտք ապահովել դեպի սարքեր և ներքին համակարգեր, որոնցում տեղադրված է Assets Discovery-ը:  CVE-2023-22524-ը հաքերներին կարող է թույլ տալ հեշտությամբ հասնել կոդի կատարման՝ օգտագործելով WebSockets-ը և շրջանցելով Atlassian Companion-ի բլոկների ցուցակը:

Այս ամենը ջրի երես դուրս եկավ, երբ ավստրալական ընկերությունը բացահայտեց իր Bamboo Data Center-ի և սերվերի արտադրանքի բոլոր տարբերակների վրա ազդող Apache ActiveMQ-ի անվտանգության կրիտիկական խոցելիության պատճառը (CVE-2023-46604, CVSS կատալոգում միավորը՝ 10.0): Ներկա պահին շտկումները հասանելի են՝ 9.2.7, 9.3.5, 9.4.1 և ավելի նոր տարբերակներում:

Աղբյուրը՝  https://thehackernews.com/