Atlassian Security Updates Patch High-Severity Vulnerabilities
2023/09/21 SecurityWeek — 今週に Atlassian が発表したのは、Jira/Confluence/Bitbucket/Bamboo に影響を及ぼす、4つの深刻な脆弱性に対するパッチである。これらの問題の中で最も深刻なものは、Bitbucket に存在するリモートコード実行 (RCE) の脆弱性 CVE-2023-22513 (CVSS:8.5) であり、機密性/完全性/可用性に影響を及ぼす可能性があるという。なお、認証されている攻撃者であれば、ユーザーとの対話を必要とせずに悪用できると、Atlassian は説明している。この問題は、Bitbucket バージョン 8.0.0 で発生したものであり、バージョン 8.14.0 までの大半のリリースに影響する。また、Bitbucket のバージョン 8.9.5/8.10.5/8.11.4/8.12.2/8.13.1.8.14.0 および、それ以降のバージョンでは、この脆弱性に対処している。
2つ目のバグは、Confluence Data Center/Server に存在する、サービス拒否 (DoS) の脆弱性 CVE-2023-22512 (CVSS:7.5) である。
Atlassian は、「この脆弱性の悪用に成功した未認証の攻撃者は、ネットワークに接続された脆弱なホストのサービスを、一時的または無期限に中断させることで、リソースへのアクセスを拒否できる」と述べている。
このバグは、Confluence バージョン 5.6 で発生し、8.5.0 までのリリースに影響を及ぼす。Atlassian は Confluence バージョン 7.19.14/8.5.1 のリリースで、この欠陥に対処した。
3つ目の脆弱性 CVE-2023-28709 (CVSS:7.5) は、攻撃者に悪用される可能性のある、サードパーティ依存性の問題だと説明されている。Atlassian は、「環境内の資産が悪用されやすい状態にさらされる」と指摘している。
この脆弱性は、Apache Tomcat に存在するものであり、別の脆弱性である CVE-2023-24998 の不完全な修正に起因するものだと、NIST のアドバイザリに記されている。
この、Bamboo バージョン 8.1.12で発生した脆弱性は、Bamboo バージョン 9.2.4/9.3.1 で対処された。旧バージョンのユーザーに推奨されるのは、パッチを適用した最新バージョンへのアップデートである。
Jira 向けにリリースされたアップデートは、脆弱性 CVE-2022-25647 (CVSS:7.5) に対応するものだ。この欠陥は、Jira バージョン 4.20.0 で発生し、バージョン 4.20.25/5.4.9/5.9.2/5.10.1/5.11.0 のリリースで解決されている。
Atlassian は、「このセキュリティ・アドバイザリで報告された脆弱性には、先月リリースされた製品の、新バージョンで修正された4件の深刻な脆弱性が含まれている。これらの脆弱性は、当社のバグ報奨金プログラム/ペンテスト/サードパーティ・ライブラリ・スキャンにより発見されたものだ」と述べている。
なお Atlassian は、これらの脆弱性に関して、攻撃での悪用の有無には言及していない。
Atlassian Jira/Confluence/Bitbucket/Bamboo に影響を及ぼす、4つの深刻な脆弱性に対してパッチが適用されました。現状では、悪用は確認されていないようであり、CISA KEV リストにも追加されていません。直近の Atlassian 関連の記事は、2023/07/24 の「Atlassian Confluence/Bamboo の脆弱性 CVE-2023-22508 などが FIX:CISA も警告」です、よろしければ、Atlassian で検索も、ご利用ください
IoT OT Security News 
You must be logged in to post a comment.