Atklāta jauna kritiska ievainojamība Atlassian radītajā Confluence programmatūrā
Papildu jau iepriekš minētajām ievainojamībām (CVE-2019-3396 un CVE-2019-3395) Atlassian Confluence programmatūrā atklāta jauna kritiska ievainojamība (CVE-2019-3398).
Jaunatklātais apdraudējums nav saistīts ar martā publicētajām ievainojamībām (CVE-2019-3395 un CVE-2019-3396), līdz ar to Confluence instances, kurās iepriekšējās ievainojamības jau novērstas, ir jāpārbauda atkārtoti.
CVE-2019-3398 ir kritisks riska līmenis, jo uzbrucēji, to izmantojot, var iegūt attālinātā koda izpildes iespēju (Remote Code Execution), līdzīgi kā martā atklātajām ievainojamībām. Šajā gadījumā gan uzbrukuma realizēšanai uzbrucējam ir nepieciešami korekti pieejas dati tādam wiki lietotājam, kuram ir atļauts veikt failu augšupielādi.
Labojumi ietverti jaunākajās, aprīlī publicētajās versijās:
- 6.6.13
- 6.12.4
- 6.13.4
- 6.14.3
- 6.15.2
Visas vecākas versijas ir ievainojamas.
Saņemta informācija par vairākiem veiksmīgiem uzbrukumiem Eiropas valstīs, kuros izmantota jaunatklātā ievainojamība.
Ņemot vērā to, ka uzbrucēju vidū gan martā atklātās, gan arī jaunā Confluence ievainojamība ir guvušas popularitāti, iespējama pastiprināta interese par šo produktu, kas varētu novest pie jaunu ievainojamību atklāšanas un jauniem uzbrukumu vektoriem.
Tādēļ aicinām atjaunināt wiki programmatūru, un, ja nepieciešams, atjaunot līgumsaistības ar Atlassian, lai saņemtu arī nākamos atjauninājumus, lai problēmu novēršanai nenāktos vienkārši atslēgt problemātiskos spraudņus.
Vairāk par ievainojamību/ Atlassian Security Advisory:
https://confluence.atlassian.com/doc/confluence-security-advisory-2019-04-17-968660855.html
Attēls: Pixabay.com