এটি আবার প্যাচ করার সময়: আটলাসিয়ান সফ্টওয়্যারের চারটি গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা রিমোট কোড এক্সিকিউশন (RCE) এবং পরবর্তীতে এন্টারপ্রাইজ পরিবেশের মধ্যে পার্শ্বীয় আন্দোলনের দরজা খুলে দেয়। সফ্টওয়্যার প্রস্তুতকারকের সহযোগিতা এবং DevOps প্ল্যাটফর্মের দেরীতে তারা সাম্প্রতিকতম বাগ, যা সাইবার আক্রমণকারীদের জন্য একটি প্রিয় লক্ষ্য হতে থাকে।
মঙ্গলবারের জন্য আটলাসিয়ান সংশোধন জারি করা দুর্বলতাগুলির মধ্যে রয়েছে:
-
জন্য CVE-2022-1471 (CVSS দুর্বলতার তীব্রতা স্কোর 9.8 এর মধ্যে 10): ডিসিরিয়ালাইজেশন SnakeYAML লাইব্রেরি, একাধিক আটলাসিয়ান সফ্টওয়্যার প্ল্যাটফর্মকে প্রভাবিত করে।
-
জন্য CVE-2023-22522 (CVSS 9): কনফ্লুয়েন্স সার্ভার এবং ডেটা সেন্টারকে প্রভাবিত করে প্রমাণীকৃত টেমপ্লেট ইনজেকশন দুর্বলতা। কেউ সিস্টেমে লগ ইন করেছে, এমনকি বেনামেও, একটি কনফ্লুয়েন্স পৃষ্ঠায় অনিরাপদ ব্যবহারকারী ইনপুট ইনজেকশন করতে পারে এবং অ্যাটলাসিয়ানের মতে RCE অর্জন করতে পারে।
-
জন্য CVE-2023-22523 (CVSS 9.8): জিরা সার্ভিস ম্যানেজমেন্ট ক্লাউড, সার্ভার এবং ডেটা সেন্টারের জন্য অ্যাসেট ডিসকভারি নেটওয়ার্ক-স্ক্যানিং টুলে বিশেষ সুবিধাপ্রাপ্ত RCE। অ্যাটলাসিয়ানের পরামর্শ অনুসারে, "সম্পদ আবিষ্কারের অ্যাপ্লিকেশন (পূর্বে ইনসাইট ডিসকভারি নামে পরিচিত) এবং সম্পদ আবিষ্কার এজেন্টের মধ্যে দুর্বলতা বিদ্যমান।"
-
জন্য CVE-2023-22524 (CVSS 9.6): MacOS-এর জন্য Atlassian Companion অ্যাপে RCE, যা কনফ্লুয়েন্স ডেটা সেন্টার এবং সার্ভারে ফাইল সম্পাদনার জন্য ব্যবহৃত হয়। "কোড কার্যকর করার অনুমতি দেওয়ার জন্য একজন আক্রমণকারী Atlassian Companion-এর ব্লকলিস্ট এবং MacOS গেটকিপারকে বাইপাস করার জন্য WebSockets ব্যবহার করতে পারে," অ্যাডভাইজরিতে লেখা হয়েছে৷
অ্যাটলাসিয়ান বাগগুলি সাইবার আক্রমণকারীদের কাছে ক্যাটনিপ
সাম্প্রতিক উপদেশগুলি আটলাসিয়ান থেকে বাগ প্রকাশের একটি স্ট্রিং এর হিলের উপর কঠিন আসে, যা শূন্য-দিন এবং পোস্ট-প্যাচ শোষণের সাথে আবদ্ধ করা হয়েছে।
অ্যাটলাসিয়ান সফ্টওয়্যার হুমকি অভিনেতাদের জন্য একটি জনপ্রিয় লক্ষ্য, বিশেষ করে কনফ্লুয়েন্স, যা একটি জনপ্রিয় ওয়েব-ভিত্তিক কর্পোরেট উইকি যা ক্লাউড এবং হাইব্রিড সার্ভার পরিবেশে সহযোগিতার জন্য ব্যবহৃত হয়। এটি বিভিন্ন ডাটাবেসের সাথে এক-ক্লিক সংযোগের অনুমতি দেয়, যা আক্রমণকারীদের জন্য এর উপযোগিতা করে না। LinkedIn, NASA, এবং New York Times সহ 60,000 এরও বেশি গ্রাহক কনফ্লুয়েন্স ব্যবহার করেন।
অতীত প্রলোগ হলে, প্রশাসকদের অবিলম্বে সাম্প্রতিক বাগগুলি প্যাচ করা উচিত। অক্টোবরে, উদাহরণস্বরূপ, সফ্টওয়্যার কোম্পানি কনফ্লুয়েন্স ডেটা সেন্টার এবং সার্ভারে (CVE-10-2023) সর্বাধিক-তীব্রতার RCE বাগ (CVSS 22515) এর জন্য সুরক্ষা সংশোধন করেছে, যা একটি দ্বারা প্যাচ করার আগে শোষণ করা হয়েছিল। চীন-স্পন্সরড অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) স্টর্ম-০০৬২ হিসেবে ট্র্যাক করা হয়েছে. প্রুফ-অফ-কনসেপ্ট শোষণের একটি স্ট্রিংও প্রকাশের পরে এটির জন্য দ্রুত ক্রপ করে, ব্যাপক শোষণের প্রচেষ্টার পথ প্রশস্ত করে।
এর পরপরই, নভেম্বরে, আরেকটি RCE বাগ কনফ্লুয়েন্স ডেটা সেন্টার এবং সার্ভারে মাথা তুলেছিল যেটিকে বন্যের মধ্যে শূন্য-দিন হিসাবে ব্যবহার করা হয়েছিল, মূলত একটি 9.1 CVSS স্কোর সহ তালিকাভুক্ত। যাইহোক, প্যাচগুলি প্রকাশের পরে সক্রিয় র্যানসমওয়্যার এবং অন্যান্য সাইবার আক্রমণের একটি আধিক্য অ্যাটলাসিয়ানকে তীব্রতা স্কোর 10-এ উন্নীত করতে প্ররোচিত করে.
একই মাসে, আটলাসিয়ান বাঁশ প্রকাশ করে একটানা ইন্টিগ্রেশন (CI) এবং একটানা ডেলিভারি (CD) সফ্টওয়্যার ডেভেলপমেন্টের সার্ভার, সেইসাথে কনফ্লুয়েন্স ডেটা সেন্টার এবং সার্ভার, উভয়ই আরও একটি সর্বোচ্চ-তীব্রতার সমস্যার জন্য ঝুঁকিপূর্ণ ছিল - এইবার অ্যাপাচি সফ্টওয়্যার ফাউন্ডেশনের (ASF) ActiveMQ বার্তা ব্রোকার (CVE-2023-46604, CVSS 10). বাগ, যা একটি হিসাবে weaponized ছিল "n-দিন" বাগ,কে দ্রুত PoC এক্সপ্লয়েট কোড দিয়ে সজ্জিত করা হয়েছিল, যা একটি দূরবর্তী আক্রমণকারীকে প্রভাবিত সিস্টেমে নির্বিচারে আদেশ চালানোর অনুমতি দেয়। Atlassian উভয় প্ল্যাটফর্মের জন্য ফিক্স প্রকাশ করেছে.
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/patch-now-critical-atlassian-bugs-endanger-enterprise-apps
- : আছে
- : হয়
- $ ইউপি
- 000
- 000 গ্রাহক
- 1
- 10
- 11
- 12
- 60
- 7
- 8
- 9
- a
- অনুযায়ী
- অর্জন করা
- সক্রিয়
- অভিনেতা
- অগ্রসর
- উপদেশক
- আক্রান্ত
- প্রভাবিত
- পর
- আবার
- প্রতিনিধি
- অনুমতি
- অনুমতি
- অনুমতি
- এছাড়াও
- an
- এবং
- বেনামে
- অন্য
- এ্যাপাচি
- অ্যাপ্লিকেশন
- আবেদন
- অ্যাপস
- APT
- রয়েছি
- AS
- এএসএফ
- সম্পদ
- প্রচেষ্টা
- অনুমোদিত
- বাঁশ
- BE
- হয়েছে
- মধ্যে
- উভয়
- দালাল
- নম
- বাগ
- by
- CAN
- CD
- কেন্দ্র
- বৃত্ত
- মেঘ
- কোড
- সহযোগিতা
- আসা
- সহচর
- কোম্পানি
- জনতা
- সংযোগ
- একটানা
- কর্পোরেট
- পারা
- সংকটপূর্ণ
- গ্রাহকদের
- cyberattacks
- উপাত্ত
- তথ্য কেন্দ্র
- ডাটাবেস
- বিলি
- উন্নয়ন
- বিভিন্ন
- প্রকাশ
- আবিষ্কার
- দরজা
- উদ্যোগ
- পরিবেশের
- বিশেষত
- এমন কি
- এক্সিকিউট
- ফাঁসি
- বিদ্যমান
- কাজে লাগান
- শোষণ
- শোষিত
- কীর্তিকলাপ
- প্রিয়
- ফাইল
- সংশোধন করা হয়েছে
- জন্য
- পূর্বে
- ভিত
- চার
- থেকে
- দ্বাররক্ষী
- ছিল
- কঠিন
- আছে
- মাথা
- যাহোক
- এইচটিএমএল
- HTTPS দ্বারা
- অকুলীন
- আইকন
- অবিলম্বে
- in
- অন্তর্ভুক্ত করা
- সুদ্ধ
- উদ্বুদ্ধ করা
- ইনপুট
- সূক্ষ্মদৃষ্টি
- উদাহরণ
- ইন্টিগ্রেশন
- মধ্যে
- সমস্যা
- ইস্যু করা
- IT
- এর
- JPG
- মাত্র
- পরিচিত
- বিলম্বে
- সর্বশেষ
- লাইব্রেরি
- লিঙ্কডইন
- তালিকাভুক্ত
- লগ
- MacOS এর
- সৃষ্টিকর্তা
- মেকিং
- ব্যবস্থাপনা
- ভর
- বার্তা
- মাস
- অধিক
- আন্দোলন
- বহু
- নাসা
- নতুন
- নিউ ইয়র্ক
- নিউ ইয়র্ক টাইমস
- নভেম্বর
- এখন
- অক্টোবর
- of
- on
- খোলা
- মূলত
- অন্যান্য
- বাইরে
- পৃষ্ঠা
- গত
- তালি
- প্যাচ
- প্যাচিং
- মোরামের
- প্ল্যাটফর্ম
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- POC
- জনপ্রিয়
- পূর্বে
- সুবিধাপ্রাপ্ত
- প্রস্তাবনা
- দ্রুত
- ransomware
- পড়া
- মুক্ত
- দূরবর্তী
- প্রকাশিত
- ঘূর্ণিত
- s
- একই
- স্কোর
- নিরাপত্তা
- সার্ভার
- সেবা
- উচিত
- সফটওয়্যার
- সফটওয়্যার উন্নয়ন
- কেউ
- স্ট্রিং
- পরবর্তী
- পৃষ্ঠতল
- পদ্ধতি
- সিস্টেম
- লক্ষ্য
- টেমপ্লেট
- tends
- চেয়ে
- যে
- সার্জারির
- নিউ ইয়র্ক টাইমস
- তারা
- এই
- হুমকি
- হুমকি অভিনেতা
- বাঁধা
- সময়
- বার
- থেকে
- টুল
- মঙ্গলবার
- ব্যবহার
- ব্যবহৃত
- ব্যবহারকারী
- উপযোগ
- সদ্ব্যবহার করা
- বৈচিত্র্য
- দুর্বলতা
- দুর্বলতা
- জেয়
- ছিল
- উপায়..
- ওয়েব ভিত্তিক
- আমরা একটি
- ছিল
- যে
- বন্য
- সঙ্গে
- মধ্যে
- এখনো
- ইয়র্ক
- zephyrnet