Atlassian phát hành bản vá cho lỗ hổng có điểm CVSS 10

whf

Super Moderator
Thành viên BQT
06/07/2013
797
1.308 bài viết
Atlassian phát hành bản vá cho lỗ hổng có điểm CVSS 10
Atlassian vừa phát hành bản vá cho hơn 20 lỗ hổng, trong đó một lỗ hổng nghiêm trọng ảnh hưởng đến Bamboo Data Center và Server có thể bị tấn công mà không cần tương tác từ người dùng.

1711093217960.png

Được theo dõi với mã định danh CVE-2024-1597, điểm CVSS là 10/10, đây là lỗi SQL injection, tồn tại từ một phần phụ thuộc (dependency) gọi là org.postgresql : postgresql. Vì vậy theo như hãng này cho biết, mặc dù lỗ hổng này nghiêm trọng, nhưng theo đánh giá, rủi ro mà lỗ hổng này gây ra lại thấp hơn so với mức độ của nó.

Ngoài ra, CVE-2024-1597 có thể cho phép kẻ tấn công chưa xác thực tiết lộ các asset (tài nguyên) trong môi trường của nạn nhân dễ bị tấn công, ảnh hưởng cao đến tính bí mật, toàn vẹn, sẵn sàng và không cần tương tác từ người dùng.

Theo mô tả về lỗ hổng trong National Vulnerability Database (NVD) của NIST, "pgjdbc, PostgreSQL JDBC Driver, cho phép kẻ tấn công inject SQL nếu sử dụng PreferQueryMode=SIMPLE." Các phiên bản driver trước các phiên bản dưới đây bị ảnh hưởng:
  • 42.7.2
  • 42.6.1
  • 42.5.5
  • 42.4.4
  • 42.3.9, và
  • 42.2.28 (cũng đã được sửa trong 42.2.28.jre7)
"Không có lỗ hổng nào trong driver khi sử dụng chế độ truy vấn mặc định. Người dùng không ghi đè chế độ truy vấn sẽ không bị ảnh hưởng."

Lỗ hổng Atlassian được cho là đã xuất hiện trong các phiên bản sau của Bamboo Data Center và Server:
  • 8.2.1
  • 9.0.0
  • 9.1.0
  • 9.2.1
  • 9.3.0
  • 9.4.0
  • 9.5.0
Công ty cũng nhấn mạnh rằng Bamboo và các sản phẩm khác của Atlassian Data Center không bị ảnh hưởng bởi CVE-2024-1597 vì chúng không sử dụng PreferQueryMode=SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL.

Nhà nghiên cứu SonarSource Paul Gerste là người đã phát hiện và báo cáo lỗ hổng. Người dùng nên cập nhật lên phiên bản mới nhất để tránh khỏi các mối đe dọa tiềm ẩn.

Nguồn: The Hacker News
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên