Ranjivosti kritične i visoke razine rizika u Atlassian proizvodima
Dana 16. siječnja 2024. godine, tvrtka Atlassian je objavila sigurnosno upozorenje o kritičnim ranjivostima: Confluence Data Center i Confluence Server, čije iskorištavanje može rezultirati udaljenim izvršavanjem kôda (engl. remote code execution - RCE) na ranjivom poslužitelju. Također su izdana sigurnosna ažuriranja za dvadeset i osam (28) ranjivosti visoke razine rizika, a koje su otklonjene u najnovijim dostupnim inačicama Atlassian sustava.
Tehnički detalji ključnih ranjivosti otklonjenih ovim ažuriranjem:
Kritična ranjivost CVE-2023-22527 (CVSS ocjena 10) proizlazi iz ranjivosti umetanja predložaka (engl. template injection) na zastarjelim verzijama Confluence Data Centera i Servera, što omogućuje neautentificiranom napadaču postizanje udaljenog izvršavanja kôda na ranjivim inačicama.
Od dvadeset i osam (28) ranjivosti, njih šest (6) može dovesti do udaljenog izvršavanja kôda na nekoliko Atlassian proizvoda.
Zahvaćeni proizvodi:
Ranjivost CVE-2023-22527 zahvaća zastarjele verzije Confluence Data Centera i Servera 8 objavljene prije 5. prosinca 2023. godine (tj. verzije Confluence Data Centera i Servera 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, 8.5.0-8.5.3), kao i verzije 8.4.5 kojoj je istekla sistemska podrška sigurnosnih nadogradnji u skladu s Atlassianovom politikom popravaka sigurnosnih grešaka.
Ostale ranjivosti zahvaćaju verzije:
- Bitbucket Data Center prije verzija 7.21.21, 8.9.9, 8.13.5, 8.14.4, 8.15.3, 8.16.2 i 8.17.0;
- Bitbucket Server prije verzija 7.21.21, 8.9.9, 8.13.5 i 8.14.4;
- Bamboo Data Center i Server prije verzija 9.2.9, 9.3.6 i 9.4.2;
- Jira Data Center i Server prije verzija 9.4.13 i 9.7.0;
- Jira Service Management Data Center i Server prije verzija 4.20.30, 5.4.15 i 5.12.2;
- Crowd Data Center i Server prije verzije 5.2.2;
- Confluence Data Center prije verzija 7.19.18, 8.5.5 i 8.7.2;
- Confluence Server prije verzija 7.19.18 i 8.5.5.
Preporuke:
Preporučuje se žurno ažuriranje ranjivih Atlassian proizvoda na najnoviju dostupnu inačicu.
Više informacija moguće je pročitati na poveznicama u nastavku:
- https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html
- https://confluence.atlassian.com/security/security-bulletin-january-16-2024-1333335615.html
[inicijalna objava: 18.1.2024 - 13:28]
Normativni akti
- Ustav Republike Hrvatske
- Strategija nacionalne sigurnosti
- Zakon o sustavu domovinske sigurnosti
- Zakon o sigurnosno-obavještajnom sustavu RH
- Zakon o tajnosti podataka
- Zakon o informacijskoj sigurnosti
- Uredba o mjerama informacijske sigurnosti
- Nacionalna strategija kibernetičke sigurnosti i Akcijski plan za provedbu Nacionalne strategije kibernetičke sigurnosti
- Zakon o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Uredba o kibernetičkoj sigurnosti operatora ključnih usluga i davatelja digitalnih usluga
- Smjernice za postupanje s neklasificiranim podacima
- Pravilnik o standardima sigurnosti neklasificiranih informacijskih sustava