Technology

Atlassian mengungkapkan bug penting – Keamanan

Server Confluence populer dan produk pusat data Atlassian telah ditambal untuk menghapus bug kredensial hardcoded yang dinilai perusahaan sebagai tingkat keparahan kritis.

Seperti yang dijelaskan perusahaan dalam penasehatnya, bug (CVE-2022-26138) ada jika pengguna telah mengaktifkan aplikasi Questions for Confluence.

Saat diaktifkan, Questions for Confluence membuat akun pengguna yang disebut ‘disabledsystemuser’, untuk membantu admin memigrasikan data dari aplikasi ke Confluence Cloud.

Akun itu, bagian dari grup pengguna pertemuan, memiliki kata sandi yang dikodekan, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk masuk ke Confluence dan mengakses halaman apa pun yang tersedia untuk grup pengguna pertemuan.

Perusahaan mengatakan bahwa “kata sandi yang di-hardcode itu sepele untuk diperoleh setelah mengunduh dan meninjau versi aplikasi yang terpengaruh.”

Akun tersebut mungkin ada karena Pertanyaan untuk Pertemuan sebelumnya telah diaktifkan, meskipun saat ini tidak aktif.

Admin harus memeriksa apakah server Confluence atau instance pusat data mereka memiliki akun ‘pengguna sistem yang dinonaktifkan’ dengan alamat email ‘[email protected]’.

Penasihat terpisah mencakup dua bug, CVE-2022-26136 dan CVE-2022-26137, yang memengaruhi berbagai produk.

Ini termasuk versi server dan pusat data Bamboo, Bitbucket, Confluence, Crowd, Jira dan Jira Service Management, serta perangkat lunak Fisheye dan Crucible perusahaan.

Situs Atlassian Cloud tidak terpengaruh, perusahaan mencatat.

Bug mempengaruhi filter servlet, kode Java yang memeriksa dan memproses permintaan HTTP yang masuk.

“Beberapa filter servlet menyediakan mekanisme keamanan seperti logging, auditing, autentikasi, atau otorisasi,” kata penasehat tersebut.

Dalam CVE-2022-26136, “penyerang jarak jauh yang tidak diautentikasi [can] melewati filter servlet yang digunakan oleh aplikasi pihak pertama dan ketiga.”

Kemungkinan eksploitasi, kata Atlassian, termasuk bypass otentikasi dan serangan skrip lintas situs.

Dalam CVE-2022-26137, penyerang dapat “menyebabkan filter servlet tambahan dipanggil ketika aplikasi memproses permintaan atau tanggapan”, membuka sistem ke bypass berbagi sumber daya lintas-asal.

Ini dapat dieksploitasi dengan menipu pengguna agar meminta URL jahat, memberikan akses penyerang jarak jauh yang tidak diautentikasi ke aplikasi yang rentan dengan izin korban.

Posted By : pengeluaran hk hari ini 2021