Atlassian phát hành bản vá bảo mật cho hơn hai mươi lỗ hổng, trong đó có lỗ hổng Bamboo nghiêm trọng

0
0

- Atlassian đã phát hành các bản vá bảo mật để giải quyết hơn hai mươi lỗ hổng, bao gồm một lỗi nghiêm trọng, ảnh hưởng đến Data Center và Máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.

 

Lỗ hổng nghiêm trọng có định danh CVE-2024-1597, điểm CVSS là 10,0 - mức độ nghiêm trọng tối đa, được mô tả là một lỗi SQL injection, nó bắt nguồn từ một thành phần phụ thuộc (dependency) có tên org.postgresql:postgresql.

"Lỗ hổng dependency org.postgresql:postgresql có thể cho phép kẻ tấn công không cần xác thực truy cập trái phép đến các tài nguyên nội bộ, gây tác động lớn đến tính bảo mật, tính toàn vẹn, tính khả dụng và không yêu cầu tương tác của người dùng ", Atlassian cho biết.

Theo mô tả lỗ hổng của National Vulnerability Database (NVD) của NIST, "pgjdbc, PostgreSQL JDBC driver, cho phép kẻ tấn công thực hiện tấn công SQL inject nếu đang sử dụng PreferQueryMode=SIMPLE". Các phiên bản driver bị ảnh hưởng bao gồm:

- Các phiên bản trước 42.7.2

- Các phiên bản trước 42.6.1

- Các phiên bản trước 42.5.5

- Các phiên bản trước 42.4.4

- Các phiên bản trước 42.3.9

- Các phiên bản trước 42.2.28 (đã được khắc phục trong 42.2.28.jre7)

Trong một tư vấn bảo mật vào tháng trước, các nhà bảo trì cho biết: "Lỗ hổng không xuất hiện trong driver khi sử dụng chế độ truy vấn mặc định. Người dùng không thay đổi chế độ truy vấn mặc định sẽ không bị ảnh hưởng”.

Lỗ hổng Atlassian được cho là đã tồn tại trong các phiên bản 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0, và 9.5.0 của Data Center và Máy chủ Bamboo.

Công ty cũng nhấn mạnh rằng Bamboo và các sản phẩm Data Center khác của Atlassian không bị ảnh hưởng bởi CVE-2024-1597 vì nó không sử dụng PreferQueryMode=SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL của mình.

Nhà nghiên cứu bảo mật SonarSource Paul Gerste được ghi nhận là người đã phát hiện và báo cáo lỗ hổng.

Người dùng Atlassian nên kiểm tra và cập nhật lên phiên bản mới nhất cho các hệ thống/ứng dụng đang sử dụng để bảo vệ khỏi các mối đe dọa tiềm ẩn.

PV (thehackernews.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.