Η Atlassian κυκλοφόρησε ενημερώσεις για να διορθώσει περισσότερες από δύο δωδεκάδες ευπάθειες, συμπεριλαμβανομένου ενός κρίσιμου σφάλματος που επηρεάζει το Bamboo Data Center and Server. Η εν λόγω ευπάθεια είναι ιδιαίτερα σοβαρή, καθώς θα μπορούσε να χρησιμοποιηθεί χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη.
Παρακολουθείται ως CVE-2024-1597 και φέρει βαθμολογία CVSS 10/10. Περιγράφεται ως ελάττωμα SQL injection και εντοπίζεται σε ένα non-Atlassian Bamboo dependency που ονομάζεται org.postgresql:postgresql. Ωστόσο, η εφαρμογή του dependency από την Atlassian παρουσιάζει χαμηλότερο εκτιμώμενο κίνδυνο (παρά την κρισιμότητα), γι’ αυτό η ευπάθεια αποκαλύπτεται στο μηνιαίο Δελτίο Ασφαλείας αντί σε ένα Critical Security Advisory.
Δείτε επίσης: Atlassian: Κρίσιμη ευπάθεια επηρεάζει παλιότερες εκδόσεις Confluence
“Αυτή η ευπάθεια org.postgresql:postgresql […] θα μπορούσε να επιτρέψει σε έναν εισβολέα, χωρίς έλεγχο ταυτότητας, να εκθέσει στοιχεία στο περιβάλλον σας με μεγάλο αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα και δεν απαιτεί αλληλεπίδραση με τον χρήστη“, είπε η Atlassian.
Σύμφωνα με την περιγραφή στην Εθνική βάση δεδομένων ευπάθειας (NVD) του NIST, “το pgjdbc, το PostgreSQL JDBC Driver, επιτρέπει στον εισβολέα να εισάγει SQL εάν χρησιμοποιεί PreferQueryMode=SIMPLE“.
Οι driver versions, πριν από αυτές που αναφέρονται παρακάτω, επηρεάζονται:
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9 και
- 42.2.28 (επίσης διορθώθηκε στο 42.2.28.jre7)
“Το SQL injection είναι δυνατό όταν χρησιμοποιείται η μη προεπιλεγμένη ιδιότητα σύνδεσης preferQueryMode=simple σε συνδυασμό με κώδικα εφαρμογής που έχει ευάλωτο SQL, που αναιρεί ένα parameter value“.
Δείτε επίσης: GitHub Code Scanning Autofix: Νέο AI εργαλείο διορθώνει ευπάθειες στον κώδικα
Επίσης, τονίστηκε ότι δεν υπάρχει ευπάθεια στο driver κατά τη χρήση του default query mode. Επομένως, οι χρήστες που δεν παρακάμπτουν το query mode δεν επηρεάζονται και δεν βρίσκονται σε κίνδυνο.
Η ευπάθεια της Atlassian λέγεται ότι έχει εισαχθεί στις ακόλουθες εκδόσεις του Bamboo Data Center and Server –
- 9.5.0 έως 9.5.1
- 9.4.0 έως 9.4.3
- 9.3.0 έως 9.3.6
- 9.2.0 έως 9.2.11 (LTS)
- 9.1.0 έως 9.1.3
- 9.0.0 έως 9.0.4
- 8.2.0 έως 8.2.9
- Οποιεσδήποτε παλαιότερες εκδόσεις
Η εταιρεία τόνισε ότι δεν επηρεάζονται προϊόντα Atlassian Data Center που δεν χρησιμοποιούν το PreferQueryMode=SIMPLE στα SQL database connection settings τους.
Η εφαρμογή των πιο πρόσφατων ενημερώσεων είναι κρίσιμη για την ασφάλεια των συστημάτων. Η μη εφαρμογή των επιδιορθώσεων της Atlassian επιτρέπει σε επιτιθέμενους να εκμεταλλευτούν τις ευπάθειες για να προκαλέσουν ζημιά ή να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.
Δείτε επίσης: Η Ivanti διορθώνει μια κρίσιμη ευπάθεια του Standalone Sentry
Επιπλέον, η μη εφαρμογή της ενημέρωσης μπορεί να οδηγήσει σε παραβιάσεις της συμμόρφωσης σε κανόνες. Πολλές επιχειρήσεις απαιτούν την τακτική ενημέρωση και επιδιόρθωση των συστημάτων ασφαλείας, και η μη τήρηση αυτών μπορεί να οδηγήσει σε πρόστιμα ή άλλες κυρώσεις.
Τέλος, η μη εφαρμογή ενημερώσεων θα μπορούσε ενδεχομένως να επηρεάσει τη λειτουργία του συστήματος. Οι επιθέσεις που εκμεταλλεύονται τις αδυναμίες μπορεί να προκαλέσουν σοβαρές διαταραχές, που μπορεί να περιλαμβάνουν την απώλεια δεδομένων ή την αδυναμία πρόσβασης στις υπηρεσίες.
Πηγή: thehackernews.com