Atlassian, JIRA ve JIRA servis yönetimi ürünlerinin, Şirket'in Web Uygulama Güvenlik Çerçevesi'ndeki Seraph'daki kritik bir kimlik doğrulama bypass güvenlik açığından etkilendiğini uyarma konusunda bir güvenlik danışmanlığı yayınladı.
Seraph, Jira ve Confluence'da, tüm giriş ve oturum açma isteklerini takılabilir çekirdek unsurlar sistemi aracılığıyla işlemek için kullanılır.
Kusur CVE-2022-0540 olarak izlenir ve 9.9 şiddet derecesi ile birlikte gelir. Uzak bir saldırganın, savunmasız uç noktalara özel hazırlanmış bir HTTP isteği göndererek kimlik doğrulamasını atlamasına izin verir.
Etkilenen ürünler JIRA Core Server, Yazılım Veri Merkezi, Yazılım Sunucusu, Hizmet Yönetimi Sunucusu ve Yönetim Veri Merkezidir. Daha spesifik olarak, aşağıdaki sürümler etkilenir:
Güvenlik açığı, JIRA ve JIRA servis yönetimi için bulut versiyonlarını etkilemez.
Atlassian, uzak saldırganların etkilenen ürünleri ancak Seraph'ta belirli bir yapılandırma kullanıyorlarsa, aşağıdaki gibi ayrıntılı olarak uzatabileceğini belirtir:
Güvenlik açığı JIRA'nın özünde olmasına rağmen, "Webwork1" eylem ad alanı düzeyinde "gerekli rolleri" belirten ve "eylem" düzeyinde belirtmeyen birinci ve üçüncü taraf uygulamaları etkiler.
CVE-2022-0540'tan yararlanmanın şiddeti, kullanılan uygulamalara ve Seraph'ın yapılandırmasındaki kişilerin üstünde ek izin kontrolleri kullanıp kullanmadıklarına bağlı olarak değişir.
Kusurdan etkilenen iki paket uygulama JIRA için "Insight - Varlık Yönetimi" ve "Mobil Eklenti" dir. Etkilenen uygulamaların tam bir listesi için Atlassian'ın danışmanlığının orta bölümünü kontrol edin.
Atlassian Marketplace dışındaki veya müşteriler tarafından şirket içinde geliştirilenler gibi üçüncü taraf uygulamalar da savunmasız bir yapılandırmaya güveniyorlarsa etkilenir.
JIRA'da etkilenen uygulamalar kullanılmıyorsa, güvenlik açığının şiddeti ortama düşer.
Güvenlik güncellemelerini içeren sürümler JIRA Core Server, Yazılım Sunucusu ve Yazılım Veri Merkezi 8.13.X> = 8.13.18, 8.20.x> = 8.20.6 ve 8.22.0 ve sonraki sürümlerdir.
JIRA hizmet yönetimine gelince, sabit sürümler 4.13.x> = 4.13.18, 4.20.x> = 4.20.6 ve 4.22.0 ve sonraki sürümlerdir.
Kullanıcıların yukarıdaki sürümlerden birine güncellenmesi şiddetle tavsiye edilir. Bu şu anda mümkün değilse, Atlassian etkilenen uygulamaları, riski gideren veya düzeltme yapana kadar savunmasız uygulamaları devre dışı bırakan bir sürüme güncellemesini önerir.
JIRA Service Yönetimi 4.19.x ve 4.20.x kullananlar
Atlassian sonunda devam eden bulut kesintisinin nedenini açıklıyor
Devam eden Atlassian Jira, Confluence kesintisi dünya çapında müşterileri etkiler
CISA, saldırılarda sömürülen hataların listesine 7 güvenlik açığı ekler
2021 yılında en sıfır günün arkasındaki Çin bilgisayar korsanları
QNAP, kullanıcıların kritik Apache HTTP sunucusu hatalarını azaltmasını istedi
Kaynak: Bleeping Computer