Kritická zranitelnost pro produkty Atlassian CVE-2022-26136, CVE-2022-26137

Společnost Atlassian vydala upozornění na bezpečnostní riziko pro všechny produkty Jira Server a Data Center. Jedná se o dvě zranitelnosti: “Arbitrary Servlet Filter Bypass” a “Additional Servlet Filter Invocation“.

Shrnutí zranitelnosti

Produkty Atlassian obsahující add-ony (Apps) jsou dotčeny (včetně těch dodávaných Atlassianem).

Vzdálený neautorizovaný útočník by toho mohl zneužít odesláním speciálně vytvořeného HTTP požadavku pro Add-on, aby spustil škodlivý kód na instanci produktu.

Závažnost

U instalací, které používají add-ony, hodnotí společnost Atlassian úroveň závažnosti této zranitelnosti jako kritickou.

Jedná se o hodnocení Atlassianu a vy byste měli posoudit jeho použitelnost ve svém vlastním prostředí IT. Více informací o hodnocení lze nalézt zde.

Ovlivněné jsou následující produkty:

• Jira
  • Jira Core Server
  • Jira Software Server
  • Jira Software Data Center
    
    
• Jira Service Management
  • Jira Service Management Server
  • Jira Service Management Data Center
    
    
• Bamboo
  • Bamboo Server
  • Bamboo Data Center
    
    
• Bitbucket
  • Bitbucket Server
  • Bitbucket Data Center
    
    
• Confluence
  • Confluence Server
  • Confluence Data Center
    
    
• Crowd Server and Data Center
  • Crowd Server
  • Crowd Data Center
    
    
• Crucible
• Fisheye

Ovlivněné jsou následující verze:

• Jira verze:
  • všechny verze před 8.13.22
  • všechny verze 8.14.x až 8.19.x
  • 8.20.x < 8.20.10
  • všechny verze 8.21.x
  • 8.22.x < 8.22.4
    
    
• Jira Service Management verze:
  • všechny verze před 4.13.22
  • všechny verze 4.14.x až 4.19.x
  • 4.20.x < 4.20.10
  • všechny verze 4.21.x
  • 4.22.x < 4.22.4
    
    
• Bamboo
  • všechny verze před 7.2.9
  • 8.0.x < 8.0.9
  • 8.1.x < 8.1.8
  • 8.2.x < 8.2.4
    
    
• Bitbucket Server and Data Center
  • všechny verze před 7.6.16
  • všechny verze 7.7.x až 7.16.x
  • 7.17.x < 7.17.8
  • všechny verze 7.18.x
  • 7.19.x < 7.19.5
  • 7.20.x < 7.20.2
  • 7.21.x < 7.21.2
  • 8.0.0
  • 8.1.0
    
    
• Confluence
  • všechny verze před 7.4.17
  • všechny verze 7.5.x až 7.12.x
  • 7.13.x < 7.13.7
  • 7.14.x < 7.14.3
  • 7.15.x < 7.15.2
  • 7.16.x < 7.16.4
  • 7.17.x < 7.17.4
  • 7.18.0
    
    
• Crowd
  • všechny verze před 4.3.8
  • 4.4.x < 4.4.2
  • 5.0.0
    
    
• Crucible
  • všechny verze před 4.8.10
    
    
• Fisheye
  • všechny verze před 4.8.10

Řešení

Je nutné přejít na aktuální verzi Atlassian produktů, tedy novější verzi, než jsou verze zmíněné výše. Berte prosím na vědomí, že oprava existuje jen pro vybrané minor verze produktů.

Workaround bohužel není k dispozici.

Verze obsahujicí opravu:

• Jira verze:
  • 8.13.x >= 8.13.22 (LTS)
  • 8.20.x >= 8.20.10 (LTS)
  • 8.22.x >= 8.22.4
    
    
• Jira Service Management verze:
  • 4.13.x >= 4.13.22 (LTS)
  • 4.20.x >= 4.20.10 (LTS)
  • 4.22.x >= 4.22.4
    
    
• Bamboo
  • 7.2.x >= 7.2.9
  • 8.0.x >= 8.0.9
  • 8.1.x >= 8.1.8
  • 8.2.x >= 8.2.4
  • >= 9.0.0
    
    
• Bitbucket Server and Data Center
  • 7.6.x >= 7.6.16 (LTS)
  • 7.17.x >= 7.17.8 (LTS)
  • 7.19.x >= 7.19.5
  • 7.20.x >= 7.20.2
  • 7.21.x >= 7.21.2 (LTS)
  • 8.0.x >= 8.0.1
  • 8.1.x >= 8.1.1
  • >= 8.2.0
    
    
• Confluence
  • 7.4.x >= 7.4.17 (LTS)
  • 7.13.x >= 7.13.7 (LTS)
  • 7.14.x >= 7.14.3
  • 7.15.x >= 7.15.2
  • 7.16.x >= 7.16.4
  • 7.17.x >= 7.17.4
  • 7.18.x >= 7.18.1
    
    
• Crowd
  • 4.3.x >= 4.3.8
  • 4.4.x >= 4.4.2
  • >= 5.0.1
    
    
• Crucible
  • >= 4.8.10
    
    
• Fisheye
  • >= 4.8.10

Chcete poradit nebo pomoci s upgradem či nastavením vaší instance? Neváhejte se na nás obrátit a kontaktujte nás.

Zdroj:

https://confluence.atlassian.com/security/multiple-products-security-advisory-cve-2022-26136-cve-2022-26137-1141493031.html