En Kısa Sürede Yama: Maksimum Kritik Atlassian Hatası, Kimliği Doğrulanmamış RCE'ye İzin Veriyor

Maksimum kritik, doğrulanmamış uzaktan kod yürütme (RCE) güvenlik açığı, Atlassian Confluence Veri Merkezini ve Confluence Sunucusunu, 5 Aralık'tan önce piyasaya sürülen tüm sürümlerde etkiliyor. Yama uygulanmayan kuruluşlar, fidye yazılımı kampanyalarından siber casusluk girişimlerine kadar her şeye karşı savunmaya hazır olmalıdır.

Böcek (CVE-2023-22527CVSS v10 ölçeğinde 10 üzerinden 3 güvenlik açığı ciddiyet derecesi taşıyan ), kimliği doğrulanmamış saldırganların 8.0.x, 8.1.x, 8.2.x, 8.3 sürümlerinde RCE elde etmesinin önünü açan bir şablon enjeksiyon güvenlik açığıdır. x, 8.4.x ve 8.5.0 ila 8.5.3.

Bug Vebaları Confluence'ın Çoğu Sürümünü Etkiliyor

Yükseltilmiş herhangi bir kuruluş Şirketin Aralık güncellemesinde yayınlanan Confluence versiyonları Her ne kadar hata bugün açıklanmış olsa da, yeni yamalanan daha hafif birkaç güvenlik açığı da ortada. yeni bir güvenlik bülteni.

Atlassian, kullanım ömrü sona eren örneklerin (sürüm 8.4.5 ve öncesi) de etkilendiğini ve yama almayacağını belirtti.

Herhangi bir hafifletme veya geçici çözüm mevcut olmadığından, Confluence sürümleri İnternet'e açık olmasa bile yöneticilerin tam koruma sağlamak için geçen ayın en son sürümlerini uygulaması gerekir. Bulut örnekleri etkilenmez.

Atlassian, Confluence Veri Merkezi ve Sunucu örneklerine hemen yama yapamayanlar için sistemlerini internetten kaldırmalarını ve verilerini Confluence ortamının dışına yedeklemelerini öneriyor.

Atlassian CVE-2023-22527 Saldırıları Geniş Kapsamlı Olabilir

Şirket ayrıca olası kötü amaçlı etkinliklerin (doğal olarak) izlenmesini de önerdi ancak bunu notunda belirtti. CVE-2024-22527 ile ilgili güvenlik tavsiyesi "zincirleme saldırılarla birlikte birden fazla giriş noktası olasılığı, olası tüm uzlaşma göstergelerinin listelenmesini zorlaştırıyor."

Yöneticiler şunu dikkate almalıdır: Atlassian Confluence hataları Siber suç çevresinde genellikle popülerdirPlatformun, kurumlar arası işbirliği, iş akışı ve yazılım geliştirme için kullanılan ağ ortamlarının derinliklerine ulaştığı göz önüne alındığında. Bir diğer Kasım ayında 10 üzerinden 10 kritik hata ifşa edilmesinden sonraki birkaç gün içinde sömürü girişimleri ile dolup taştı ve eğer geçmiş bir önsöz ise muhtemelen aynısı bu sefer için de geçerli olacaktır; ile Atlassian, genellikle.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/application-security/patch-max-critical-atlassian-bug-unauthenticated-rce