Atlassian, JIRA ve JIRA servis yönetimi ürünlerinin, Şirket'in Web Uygulama Güvenlik Çerçevesi'ndeki Seraph'daki kritik bir kimlik doğrulama bypass güvenlik açığından etkilendiğini uyarma konusunda bir güvenlik danışmanlığı yayınladı.
Seraph, JIRA'da ve Confluence'de, tüm giriş ve çıkış isteklerini bir takılabilir çekirdek elemanları sistemiyle ele almak için kullanılır.
Kusur, CVE-2022-0540 olarak izlenir ve 9.9 olan şiddet derecelendirmesiyle birlikte gelir. Uzaktan saldırganın, hassas uç noktalara özel olarak hazırlanmış bir HTTP isteği göndererek kimlik doğrulamasını atlamasını sağlar.
Etkilenen ürünler JIRA Çekirdek Sunucusu, Yazılım Veri Merkezi, Yazılım Sunucusu, Hizmet Yönetimi Sunucusu ve Yönetim Veri Merkezidir. Daha spesifik olarak, aşağıdaki sürümler etkilenir:
Güvenlik açığı, JIRA ve JIRA servis yönetimi için bulut versiyonlarını etkilemez.
Atlassian, uzaktaki saldırganların yalnızca, aşağıdaki gibi ayrıntılı olan Seraph'da belirli bir konfigürasyonu kullanırlarsa, etkilenen ürünleri tehlikeye atabileceğini belirtir:
Güvenlik açığı JIRA'nın özünde olmasına rağmen, "WebWork1" eylem ad alanı seviyesinde "Gerekli roller" belirten birinci ve üçüncü taraf uygulamaları etkiler ve "eylem" seviyesinde belirtmeyin.
CVE-2022-0540'u sömürme şiddeti, kullanılan uygulamalara ve Seraph'ın yapılandırmasında olanların üstüne ek izin kontrolleri kullanıp kullanmadıklarına bağlı olarak da değişir.
Kusurdan etkilenen iki paketlenmiş uygulama, JIRA için "Insight - Varlık Yönetimi" ve "Mobil Eklentisi" dir. Etkilenen uygulamaların tam bir listesi için, Atlassian'ın danışmanlığının orta bölümünü kontrol edin.
Atlassian Marketplace dışındaki veya müşteriler tarafından şirket içinde geliştirilenler gibi üçüncü taraf uygulamalar da savunmasız bir yapılandırmaya güveniyorlarsa etkilenir.
JIRA'da etkilenmemiş bir uygulama kullanılmazsa, kırılganlığın ciddiyeti ortamına düşer.
Güvenlik güncelleştirmelerini içeren versiyonlar, JIRA Çekirdek Sunucusu, Yazılım Sunucusu ve Yazılım Veri Merkezi 8.13.x> = 8.13.18, 8.20.x> = 8.20.6 ve 8.22.0 ve sonraki günlerden tüm sürümlerdir.
JIRA hizmet yönetimine gelince, sabit sürümler 4.13.x> = 4.13.18, 4.20.x> = 4.20.6 ve 4.22.0 ve sonraki sürümlerdir.
Kullanıcıların yukarıdaki sürümlerden birine güncellemeleri şiddetle tavsiye edilir. Şu anda bu mümkün değilse, Atlassian etkilenen uygulamaların riski gideren veya patlama mümkün olana kadar savunmasız uygulamaları devre dışı bırakan bir sürüme güncellemenizi önerir.
JIRA Service Yönetimi 4.19.x ve 4.20.x kullananlar
Atlassian nihayet devam eden bulut kesintisinin nedenini açıklar.
Devam eden Atlassian Jira, Confluence kesintisi dünya çapında müşterileri etkiler
2021 yılında en sıfır günün arkasındaki Çin bilgisayar korsanları
QNAP, kullanıcıların kritik Apache HTTP sunucusu hatalarını azaltmasını istedi
Cisco şemsiye varsayılan SSH tuşu, yönetici kimlik bilgilerinin hırsızlığını sağlar
Kaynak: Bleeping Computer