Jira, Bamboo, Bitbucket, Confluence, Fisheye/Crucible y preguntas sobre el punto de encuentro afectado
Atlassian abordó una falla de credenciales persistente en las preguntas sobre la convergencia y la anulación del filtro de servlet en muchos otros productos.
los australiano El proveedor de SDK publicó Pautas de seguridad con Pautas para implementar actualizaciones y mitigaciones ayer (20 de julio).
Omisión de filtro de servlet
Omitir la falla del filtro de servlet afecta a varias versiones de Bamboo Server, Data Center, Bitbucket Server, Data Center, Confluence Server, Data Center, Crowd Server, Data Center, Fisheye and Crucible, Jira Server, Data Center, Jira Service Management Server y Data Centro.
Las correcciones se publican en los sitios de Atlassian Cloud.
Los filtros de servlet interceptan y procesan solicitudes HTTP antes de enviar la solicitud del cliente al recurso de backend y desde el recurso de backend antes de enviarla al cliente.
Una vulnerabilidad rastreada como CVE-2022-26136 permitió a un atacante no autenticado eludir los filtros de servlet utilizados por aplicaciones propias y de terceros aún no especificadas.
Atlassian dijo que el efecto depende de qué filtros usa la aplicación y cómo se usan.
Siga las últimas vulnerabilidades de seguridad
“Atlassian ha publicado actualizaciones que solucionan la causa raíz de esta vulnerabilidad, pero no ha enumerado de forma exhaustiva todas las posibles consecuencias”, dice. Consultoría de seguridad.
Atlassian se asegura de que los atacantes no autenticados puedan enviar una solicitud HTTP especialmente diseñada para eludir los servlets personalizados y los filtros de autenticación que las aplicaciones de terceros usan para forzar Autenticacióno para omitir el filtro de servlet utilizado para la validación de Atlassian Gadgets y la validación de secuencias de comandos entre sitios (XSS).
Otra vulnerabilidad permite que un atacante no autenticado provoque la llamada de filtros de servlet adicionales cuando la aplicación procesa solicitudes o respuestas (CVE-2022-26137).
Atlassian dijo que abordó el único problema de seguridad relevante conocido: el desvío de Cross Origin Resource Sharing (CORS) donde una solicitud HTTP personalizada puede invocar un filtro de servlet utilizado para responder a las solicitudes CORS.
Preguntas para conocer
Las credenciales cifradas en Question for Confluence, una aplicación estilo foro para la plataforma wiki empresarial de Confluence, se crean para una cuenta de usuario con el nombre de usuario, lo que ayuda a los administradores a migrar datos de la aplicación a Confluence Cloud.
La cuenta se “añade al grupo de usuarios de Confluence, que permite ver y editar todas las páginas sin restricciones de Confluence de forma predeterminada”, se lee en la entrevista. Consultoría de seguridad.
“Un atacante remoto no autenticado con conocimiento de la contraseña cifrada podría explotar esto para iniciar sesión en Confluence y acceder a cualquier página a la que pueda acceder un grupo de usuarios de Confluence”.
“Si bien Atlassian no ha recibido ningún informe sobre la explotación de este problema en la naturaleza, obtener la contraseña cifrada es trivial”, dijo Atlassian.
La falla (CVE-2022-26138) se aplica cuando la aplicación de preguntas frecuentes para Confluence está habilitada en un servidor o centro de datos de Confluence. Confluence Cloud no se ve afectado.
Atlassian advirtió que la desinstalación de la aplicación Questions for Confluence por sí sola no soluciona la vulnerabilidad, ya que al hacerlo no se elimina la cuenta.
En su lugar, los usuarios deben manualmente Deshabilitar o eliminar Estas cuentas o Confluence Questions se actualizan a la versión 2.7.38 o 3.0.5, que elimina y detiene la creación de la cuenta de usuario respectiva.
Los usuarios pueden determinar si la falla ha sido explotada en sus ejemplos. Revisar las últimas horas de inicio de sesión de los usuarios. “Si el último tiempo de autenticación está vacío, entonces la cuenta existe pero nadie ha iniciado sesión”, dijo Atlassian.
“Orgulloso adicto al café. Gamer. Introvertido incondicional. Pionero de las redes sociales”.