Atlassian đã phát hành các bản vá bảo mật để giải quyết hơn hai mươi lỗ hổng, bao gồm một lỗi nghiêm trọng, ảnh hưởng đến Data Center và Máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.
Lỗ hổng nghiêm trọng có định danh CVE-2024-1597, điểm CVSS là 10,0 - mức độ nghiêm trọng tối đa, được mô tả là một lỗi SQL injection, nó bắt nguồn từ một thành phần phụ thuộc (dependency) có tên org.postgresql:postgresql.
"Lỗ hổng dependency org.postgresql:postgresql có thể cho phép kẻ tấn công không cần xác thực truy cập trái phép đến các tài nguyên nội bộ, gây tác động lớn đến tính bảo mật, tính toàn vẹn, tính khả dụng và không yêu cầu tương tác của người dùng ", Atlassian cho biết.
Theo mô tả lỗ hổng của National Vulnerability Database (NVD) của NIST, "pgjdbc, PostgreSQL JDBC driver, cho phép kẻ tấn công thực hiện tấn công SQL inject nếu đang sử dụng PreferQueryMode=SIMPLE". Các phiên bản driver bị ảnh hưởng bao gồm:
- Các phiên bản trước 42.7.2
- Các phiên bản trước 42.6.1
- Các phiên bản trước 42.5.5
- Các phiên bản trước 42.4.4
- Các phiên bản trước 42.3.9
- Các phiên bản trước 42.2.28 (đã được khắc phục trong 42.2.28.jre7)
Trong một tư vấn bảo mật vào tháng trước, các nhà bảo trì cho biết: "Lỗ hổng không xuất hiện trong driver khi sử dụng chế độ truy vấn mặc định. Người dùng không thay đổi chế độ truy vấn mặc định sẽ không bị ảnh hưởng."
Lỗ hổng Atlassian được cho là đã tồn tại trong các phiên bản 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0, và 9.5.0 của Data Center và Máy chủ Bamboo.
Công ty cũng nhấn mạnh rằng Bamboo và các sản phẩm Data Center khác của Atlassian không bị ảnh hưởng bởi CVE-2024-1597 vì nó không sử dụng PreferQueryMode=SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL của mình.
Nhà nghiên cứu bảo mật SonarSource Paul Gerste được ghi nhận là người đã phát hiện và báo cáo lỗ hổng.
Người dùng Atlassian nên kiểm tra và cập nhật lên phiên bản mới nhất cho các hệ thống/ứng dụng đang sử dụng để bảo vệ khỏi các mối đe dọa tiềm ẩn.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một chiến dịch lừa đảo mới đang nhắm mục tiêu vào các tổ chức của Mỹ với mục đích triển khai trojan truy cập từ xa NetSupport RAT.
Tín nhiệm mạng | Công ty công nghệ Nhật Bản Fujitsu phát hiện ra rằng một số hệ thống của họ đã bị nhiễm phần mềm độc hại và cảnh báo rằng tin tặc đã đánh cắp dữ liệu của khách hàng.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện một số kho lưu trữ GitHub có chứa phần mềm bẻ khóa được sử dụng để phát tán mã độc đánh cắp thông tin RisePro.
Tín nhiệm mạng | Các plugin của bên thứ ba hiện có dành cho OpenAI ChatGPT có thể bị lạm dụng như một bề mặt tấn công mới cho các tác nhân đe dọa muốn truy cập trái phép vào dữ liệu nhạy cảm.
Tín nhiệm mạng | Fortinet đã vá một lỗ hổng nghiêm trọng trong phần mềm FortiClient Enterprise Management Server (EMS) có thể cho phép kẻ tấn công thực thi mã từ xa trên các máy chủ dễ bị tấn công
Tín nhiệm mạng | Người dùng GitHub đã vô tình tiết lộ 12,8 triệu thông tin bí mật và xác thực trong hơn 3 triệu kho lưu trữ công khai trong năm 2023
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
