پیچ ASAP: میکس کریٹیکل اٹلاسین بگ غیر تصدیق شدہ RCE کی اجازت دیتا ہے

5 دسمبر سے پہلے جاری ہونے والے تمام ورژنز میں ایک زیادہ سے زیادہ اہم غیر تصدیق شدہ ریموٹ کوڈ ایگزیکیوشن (RCE) کی کمزوری Atlassian Confluence Data Center اور Confluence Server کو متاثر کر رہی ہے۔ بے ترتیب تنظیموں کو ransomware مہمات سے لے کر سائبر جاسوسی کی کوششوں تک ہر چیز کے خلاف دفاع کے لیے تیار رہنا چاہیے۔

بگ (CVE-2023-22527)، جو CVSS v10 اسکیل پر 10 میں سے 3 خطرے کی شدت کی درجہ بندی رکھتا ہے، ایک ٹیمپلیٹ انجیکشن کمزوری ہے جو غیر تصدیق شدہ حملہ آوروں کے لیے ورژن 8.0.x، 8.1.x، 8.2.x، 8.3 پر RCE حاصل کرنے کی راہ ہموار کرتی ہے۔ x، 8.4.x، اور 8.5.0 سے 8.5.3 تک۔

سنگم کے سب سے زیادہ ورژن بگ پلگ

کوئی بھی ادارہ جس نے اپ گریڈ کیا ہے۔ کمپنی کے دسمبر کے اپ ڈیٹ میں جاری کردہ سنگم ورژن واضح ہیں، اگرچہ اس مسئلے کا انکشاف آج ہی کیا گیا تھا، اس کے ساتھ ساتھ کئی کم شدید خطرات بھی ہیں جن میں نئے پیچ کیے گئے ہیں۔ ایک تازہ سیکیورٹی بلیٹن.

Atlassian نے نوٹ کیا کہ زندگی کے اختتامی واقعات (ورژن 8.4.5 اور اس سے پہلے) بھی متاثر ہوتے ہیں اور پیچ وصول نہیں کریں گے۔

کوئی تخفیف یا حل دستیاب نہیں ہے، اس لیے منتظمین کو چاہیے کہ وہ مکمل طور پر محفوظ رہنے کے لیے پچھلے مہینے کے تازہ ترین ورژنز کو لاگو کریں، چاہے ان کے کنفلوئنس کے ورژن انٹرنیٹ کے سامنے نہ ہوں۔ کلاؤڈ کی مثالیں غیر متاثر ہیں۔

ان لوگوں کے لیے جو اپنے کنفلوئنس ڈیٹا سینٹر اور سرور کی مثالوں کو فوری طور پر پیچ نہیں کر سکتے، Atlassian تجویز کرتا ہے کہ وہ اپنے سسٹم کو انٹرنیٹ سے ہٹا دیں اور اپنے ڈیٹا کا بیک اپ کنفلوئنس ماحول سے باہر رکھیں۔

Atlassian CVE-2023-22527 حملے وسیع ہو سکتے ہیں

کمپنی نے کسی بھی ممکنہ بدنیتی پر مبنی سرگرمی (قدرتی طور پر) کے لیے نگرانی کا مشورہ بھی دیا لیکن اس میں نوٹ کیا گیا۔ CVE-2024-22527 پر سیکیورٹی ایڈوائزری کہ "ایک سے زیادہ داخلی مقامات کا امکان، زنجیروں میں بند حملوں کے ساتھ، سمجھوتہ کے تمام ممکنہ اشاریوں کی فہرست بنانا مشکل بنا دیتا ہے۔"

منتظمین کو نوٹ کرنا چاہیے: Atlassian Confluence کیڑے ہیں۔ سائبر کرائم سرکٹ پر عام طور پر مقبول، یہ دیکھتے ہوئے کہ پلیٹ فارم نیٹ ورک کے ماحول میں گہرائی تک پہنچ جاتا ہے، جو کراس انٹرپرائز تعاون، ورک فلو، اور سافٹ ویئر ڈویلپمنٹ کے لیے استعمال ہوتا ہے۔ ایک اور نومبر میں 10 میں سے 10 اہم بگ اس کے افشاء کے دنوں کے اندر استحصال کی کوششوں سے بھرا ہوا تھا، اور امکان ہے کہ اس کے لیے بھی ایسا ہی ہو گا اگر ماضی پیش کش ہے۔ کے ساتھ Atlassian، یہ عام طور پر ہے.

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.darkreading.com/application-security/patch-max-critical-atlassian-bug-unauthenticated-rce