Atlassian-ը և Ինտերնետային համակարգերի կոնսորցիումը (ISC) բացահայտել են անվտանգության խոցելիություններ, որոնք ազդում են իրենց արտադրանքի վրա և կարող են օգտագործվել denial-of-service (DoS) և կոդերի հեռակա կատարման հասնելու համար:
Ավստրալիայի ծրագրային ապահովման ծառայությունների մատակարարը նշել է, որ արդեն իսկ չորս կրիտիկական խոցելիություններ շտկվել են անցյալ ամսվա տարբերակներում:
Շտկումները ներառում են՝
- CVE-2022-25647 (CVSS-ում միավորը՝ 7.5) – Google Gson փաթեթի ապասերիալիզացիայի խոցելիություն, որն ազդում է Jira ծառայության կառավարման տվյալների կենտրոնի և սերվերում Patch Management-ի վրա
- CVE-2023-22512 (CVSS-ում միավորը՝ 7.5) – Confluence Data Center-ում և Server-ում DoS-ի խոցելիություն
- CVE-2023-22513 (CVSS-ում միավորը՝ 8.5) – Bitbucket տվյալների կենտրոնում և սերվերում RCE խոցելիություն
- CVE-2023-28709 (CVSS-ում միավորը՝ 7.5) – Apache Tomcat սերվերում DoS-ի խոցելիություն, որն ազդում է Bamboo տվյալների կենտրոնի և սերվերի վրա:
Համապատասխան մշակման ընթացքում ISC-ն թողարկել է երկու կրիտիկական սխալների շտկումներ, որոնք ազդում են Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) ծրագրային փաթեթի վրա:
- CVE-2023-3341 (CVSS-ում միավորը՝ 7.5) – A stack exhaustion flaw-ի խոցելիություն, որը կարող է հանգեցնել անվան անսպասելի դադարեցմանը (ֆիքսված են՝ 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 և 9.18.19-S1 տարբերակներում):
- CVE-2023-4236 (CVSS-ում միավորը՝ 7.5) – Անվանված ծառայությունը կարող է անսպասելիորեն դադարեցվել DNS-over-TLS query-ի ծանրաբեռնվածության դեպքում (ֆիքսված են՝ 9.18.19 և 9.18.19-S1 տարբերակներում)
Վերջին շտկումներն արվեցին ISC-ի՝ ծրագրային երեք այլ խոցելիությունների շտկումից երեք ամիս անց (CVE-2023-2828, CVE-2023-2829 և CVE-2023-2911, CVSS կատալոգում միավորը՝ 7.5), որոնք կարող էին հանգեցնել DoS վիճակի։
Աղբյուրը՝ https://thehackernews.com/