Critical Flaw In Atlassian Bamboo Data Center And Server Must Be Fixed Immediately
2024/03/20 SecurityAffairs — Atlassian の Bamboo/Bitbucket/Confluence/Jira などに存在する、複数の脆弱性が修正された。最も深刻なのは、SQL インジェクションの脆弱性 CVE-2024-1597 (CVSS:10) であり、Bamboo Data Center/Server の org.postgresql:postgresql サードパーティ依存関係に影響及ぼすものだ。
Atlassian のアドバイザリには、「この org.postgresql:postgresql 依存性の脆弱性 CVE-2024-1597 (CVSS:10) の悪用に成功した未認証の攻撃者は、機密性/完全性/可用性に大きな影響を与え、ユーザーによる操作を必要とせずに資産を公開する可能性を持つ」と記されている。
この脆弱性は、Bamboo Data Center/Server のバージョン 8.2.1/9.0.0/9.1.0/9.2.1/9.3.0/9.4.0/9.5.0 に影響を及ぼす。Atlassian は、バージョン 9.6.0 (LTS)/9.5.2/9.4.4/9.2.12 (LTS) のリリースで、この脆弱性に対処した。
さらに同社は、CVE-2024-21634 (CVSS:7.5) として追跡されている、Bamboo Data Center/Server に影響を及ぼす DoS (サービス拒否) software.amazon.ion:ion-java 依存の問題にも対処した。
Atlassian は、「この software.amazon.ion:ion-java 依存の脆弱性は CVE-2024-21634 (CVSS:7.5) の悪用に成功した未認証の攻撃者は、機密性/完全性には影響しないが、可用性に大きく影響を及ぼす。また、ユーザーによる操作を必要とせずに、資産を公開する可能性を持つ」と述べている。
この深刻度の高い software.amazon.ion:ion-java 依存の脆弱性は、Bamboo Data Center/Server のバージョン 8.2.1/9.0.0/9.1.0/9.2.1/9.3.0/9.4.0/9.5.0 に存在する。
Atlassian が対処した脆弱性の全リストは、ココで参照できる。
Atlassian Bamboo に脆弱性 CVE-2024-1597 が発生しましたが、その深刻度は CVSS:10 とのことです。Atlassian の脆弱性は、脅威アクターたちにとって魅力的なようであり、頻繁に攻撃対象にされています。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.