CVE-2024-21689: RCE Vulnerability in Atlassian Bamboo Data Center and Server
2024/08/20 SecurityOnline — ソフトウェア開発ツールを提供する Atlassian が公表したのは、Bamboo Data Center/Serve に存在する、深刻度の高いリモートコード実行の脆弱性 CVE-2024-21689 (CVSS:7.6) に関するアドバイザリである。この脆弱性が悪用されると、Bamboo Data Center/Serve を使用している組織に重大なリスクがもたらされる。
脆弱性 CVE-2024-21689 は、Bamboo Data Center/Server のバージョン 9.1.0〜9.6.0 に混入した深刻なセキュリティ上の欠陥である。この脆弱性の悪用に成功した認証済み攻撃者は、Bamboo 環境内で任意のコード実行を引き起こす可能性を手にする。この機能は、対象となるシステムの、機密性/完全性/可用性に大きな影響を与えるものであり、深刻な結果が生じる恐れがある。
この脆弱性は、CI/CD プロセスを Bamboo に依存している組織にとって、特に懸念すべきものである。ビルド/テスト/リリースの自動化という、Bamboo の役割を考えると、RCE により不正なコードが実行されることで、ソフトウェア開発パイプライン全体に生じる危険性が懸念される。
すでに Atlassian は、この脆弱性の発見を受けて、修正プログラムを発行し、Bambooインスタンスをアップグレードするよう顧客に呼びかけている。最新のリリースへと直ちにアップグレードできない場合には、CVE-2024-21689 のパッチを含む、いずれかの指定されたバージョンにアップデートすることが推奨される:
- Bamboo Data Center/Server 9.2:バージョン 9.2.17 以降へとアップグレード。
- Bamboo Data Center/Server 9.6:バージョン 9.6.5 以降へとアップグレード。
管理者にとって極めて重要なことは、これらのアップグレードを優先し、RCE 脆弱性に関連するリスクを軽減することだ。このアップグレードを怠ると、データ漏洩/サービスの中断などが発生し、組織が重大な脅威にさらされることなる。
Atlassian Bamboo の、新たな脆弱性 CVE-2024-21689 が FIX しています。ご利用のチームは、アップデートを お急ぎください。前回の Bamboo の脆弱性は、2024/07/16 の「Atlassian Bamboo/Confluence の脆弱性 CVE-2024-21687/21686 が FIX:ただちにアップデートを!」です。よろしければ、Atlassian で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.