Zranitelnost Bamboo Data Center a Server (CVE-2024-1597)
Shrnutí zranitelnosti
SQLi (SQL Injection) org.postgresql:postgresql Dependency in Bamboo Data Center and Server
Tento bezpečnostní problém má nižší hodnocené riziko podle Atlassianu, a proto je zveřejněn jen v Měsíčním zpravodaji o zabezpečení, viz. https://confluence.atlassian.com/security/security-bulletin-march-19-2024-1369444862.html
Produkty Bamboo a další produkty Atlassian Data Center nejsou touto zranitelností ovlivněny, protože nepoužívají PreferQueryMode=SIMPLE ve svých nastaveních připojení k SQL databázi.
Tuto kritickou zranitelnost závislosti org.postgresql:postgresql najdeme ve verzích 8.2.1, 9.0.0, 9.1.0, 9.2.1, 9.3.0, 9.4.0 a 9.5.0 produktů Bamboo Data Center a Server.
Tato závislost na zranitelnosti org.postgresql:postgresql, s hodnocením CVSS 10 a vektorem CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H, by mohla umožnit neautentizovanému útočníkovi vystavit aktiva ve vašem prostředí náchylná k zneužití, což má vysoký dopad na důvěrnost, integritu a dostupnost a nevyžaduje žádnou uživatelskou interakci.
Řešení
Atlassian doporučuje, aby zákazníci produktů Bamboo Data Center a Server upgradovali na nejnovější verzi. Pokud to není možné, upgradujte svou instanci na jednu z určených podporovaných opravených verzí.
Affected versions | Fixed versions |
---|---|
from 9.5.0 to 9.5.1 | 9.6.0 (LTS) recommended Data Center Only or 9.5.2 Data Center Only |
from 9.4.0 to 9.4.3 | 9.6.0 (LTS) recommended Data Center Only or 9.5.2 Data Center Only or 9.4.4 |
from 9.3.0 to 9.3.6 | 9.6.0 (LTS) recommended Data Center Only or 9.5.2 Data Center Only or 9.4.4 |
from 9.2.0 to 9.2.11 (LTS) | 9.6.0 (LTS) recommended Data Center Only or 9.5.2 Data Center Only or 9.4.4 or 9.2.12 (LTS) |
from 9.1.0 to 9.1.3 | 9.6.0 (LTS) recommended Data Center Only or 9.5.2 Data Center Only or 9.4.4 or 9.2.12 (LTS) |
from 9.0.0 to 9.0.4 | 9.6.0 (LTS) recommended Data Center Only or 9.5.2 Data Center Only or 9.4.4 or 9.2.12 (LTS) |
from 8.2.0 to 8.2.9 | 9.6.0 (LTS) recommended Data Center Only or 9.5.2 Data Center Only or 9.4.4 or 9.2.12 (LTS) |
Any earlier versions | 9.6.0 (LTS) recommended Data Center Only or 9.5.2 Data Center Only or 9.4.4 or 9.2.12 (LTS) |
Sdílejte