- Atlassian đã phát hành các bản vá bảo mật để giải quyết hơn hai mươi lỗ hổng, bao gồm một lỗi nghiêm trọng, ảnh hưởng đến Data Center và Máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.
Lỗ hổng nghiêm trọng có định danh CVE-2024-1597, điểm CVSS là 10,0 - mức độ nghiêm trọng tối đa, được mô tả là một lỗi SQL injection, nó bắt nguồn từ một thành phần phụ thuộc (dependency) có tên org.postgresql:postgresql.
"Lỗ hổng dependency org.postgresql:postgresql có thể cho phép kẻ tấn công không cần xác thực truy cập trái phép đến các tài nguyên nội bộ, gây tác động lớn đến tính bảo mật, tính toàn vẹn, tính khả dụng và không yêu cầu tương tác của người dùng ", Atlassian cho biết.
Theo mô tả lỗ hổng của National Vulnerability Database (NVD) của NIST, "pgjdbc, PostgreSQL JDBC driver, cho phép kẻ tấn công thực hiện tấn công SQL inject nếu đang sử dụng PreferQueryMode=SIMPLE". Các phiên bản driver bị ảnh hưởng bao gồm:
- Các phiên bản trước 42.7.2
- Các phiên bản trước 42.6.1
- Các phiên bản trước 42.5.5
- Các phiên bản trước 42.4.4
- Các phiên bản trước 42.3.9
- Các phiên bản trước 42.2.28 (đã được khắc phục trong 42.2.28.jre7)
Trong một tư vấn bảo mật vào tháng trước, các nhà bảo trì cho biết: "Lỗ hổng không xuất hiện trong driver khi sử dụng chế độ truy vấn mặc định. Người dùng không thay đổi chế độ truy vấn mặc định sẽ không bị ảnh hưởng”.
Lỗ hổng Atlassian được cho là đã tồn tại trong các phiên bản 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0, và 9.5.0 của Data Center và Máy chủ Bamboo.
Công ty cũng nhấn mạnh rằng Bamboo và các sản phẩm Data Center khác của Atlassian không bị ảnh hưởng bởi CVE-2024-1597 vì nó không sử dụng PreferQueryMode=SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL của mình.
Nhà nghiên cứu bảo mật SonarSource Paul Gerste được ghi nhận là người đã phát hiện và báo cáo lỗ hổng.
Người dùng Atlassian nên kiểm tra và cập nhật lên phiên bản mới nhất cho các hệ thống/ứng dụng đang sử dụng để bảo vệ khỏi các mối đe dọa tiềm ẩn.
PV (thehackernews.com/tinnhiemmang.vn)