- Atlassian a corrigé des vulnérabilités de haute gravité dans ses produits Confluence, Jira et Bamboo.
- Atlassian a rapidement publié des correctifs pour les versions impactées (9.0.0, 9.1.0, 9.2.0, 9.3.0, 9.4.0, 9.5.0 et 9.6.0) pour corriger les failles.
- CVE-2024-21687, la faille la plus grave, est une vulnérabilité d’inclusion de fichiers avec un score CVSS de 8,1.
Atlassian, l’un des principaux éditeurs de logiciels, a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités de haute gravité dans ses produits Confluence, Jira, Bitbucket et Bamboo. Ces failles pourraient permettre à des acteurs malveillants d’exécuter du code arbitraire sur les systèmes ciblés. Les bugs corrigés dans cette mise à jour incluent CVE-2024-21687 (vulnérabilité d’inclusion de fichier), CVE-2024-22262 (vulnérabilité SSRF), CVE-2024-21686 (vulnérabilité XSS stockée), CVE-2021-36090 (déni de service), CVE-2024-21688 (vulnérabilité de dépendance) et CVE-2022-41966 (déni de service).
Ces failles ont été découvertes via des analyses de bibliothèques tierces, le programme Bug Bounty d’Atlassian et des processus de tests de pénétration. Elles affectent les versions de produit 9.0.0, 9.1.0, 9.2.0, 9.3.0, 9.4.0, 9.5.0 et 9.6.0. La plus grave de ces vulnérabilités est CVE-2024-21687, qui a un score CVSS de 8,1 sur 10. Ces vulnérabilités peuvent entraîner le vol de données, l’accès non autorisé et la compromission des réseaux.
Les mises à jour ont également corrigé plus d’une douzaine de vulnérabilités associées au kit de développement Java fourni, qui n’affectent pas la distribution .zip/.tar.gz. Ces vulnérabilités ont été introduites dans les versions 7.0.1 de Confluence Data Center et Server. D’autres correctifs incluent un correctif pour un problème de script intersite stocké (XSS) qui permettait l’exécution de code arbitraire dans les navigateurs.
Voir plus : Le fournisseur russe d’antivirus Kaspersky Lab se retire du marché américain
Mesures d’atténuation
Atlassian recommande aux utilisateurs de mettre à niveau leurs installations vers les dernières versions. Les utilisateurs sont également encouragés à consulter le portail de divulgation des vulnérabilités pour vérifier si les nouvelles vulnérabilités affectent leurs versions de produit. Bien qu’aucune exploitation de ces failles n’ait été signalée, les utilisateurs sont vivement encouragés à appliquer les mises à jour corrigées dès que possible.
Les utilisateurs doivent également vérifier et s’assurer que les instances sont correctement configurées, conformément aux meilleures pratiques de sécurité d’Atlassian. Pour les systèmes qui ne peuvent pas être mis à jour immédiatement, les utilisateurs doivent envisager des solutions de contournement tout en maintenant une vigilance accrue face aux activités suspectes autour des produits Atlassian.
DERNIÈRES NOUVELLES
2024-07-18 17:42:21
1721314563
#Atlassian #corrige #les #failles #des #serveurs #des #centres #données
