Produk pusat data Atlassian yang terpengaruh oleh bug pihak ketiga – Keamanan – Perangkat Lunak
Technology

Produk pusat data Atlassian yang terpengaruh oleh bug pihak ketiga – Keamanan – Perangkat Lunak

Bug Java lama dalam produk pihak ketiga yang belum ditambal telah memberi toko Atlassian pilihan antara penambalan dan perbaikan.

Berbagai versi Pusat Data Bitbucket perusahaan telah dirilis untuk menambal bug di platform Hazelcast pihak ketiga.

Penasihat Atlassian mengatakan instalasi Bitbucket tunggal dan multi-simpul terpengaruh. Delapan versi di Bitbucket 5.x, 6.x dan 7.x perlu ditambal.

Perbaikan ada di Bitbucket 7.6.14, 7.17.6, 7.18.4, 7.19.4, 7.20.1 dan 7.21.0.

Bug juga memengaruhi Confluence Data Center versi 5.6.x dan yang lebih baru, tetapi hanya jika dikonfigurasi sebagai cluster.

Atlassian belum merilis versi patch. Sementara itu, pengguna Confluence Data Center disarankan untuk membatasi akses ke port Hazelcast (TCP 5701 dan 5801 secara default) di firewall.

Untuk pengguna Bitbucket, hanya port 5701 yang perlu dibatasi.

Bug di Hazelcast adalah bug deserialisasi Java yang berasal dari 2016.

Menurut penasehat asli, CVE-2016-10750: “Di Hazelcast sebelum 3.11, prosedur penggabungan cluster rentan terhadap eksekusi kode jarak jauh melalui deserialisasi Java.

“Jika penyerang dapat mencapai instance Hazelcast yang mendengarkan dengan JoinRequest yang dibuat, dan kelas rentan ada di classpath, penyerang dapat menjalankan kode arbitrer.”

Dari laporan bug pertama di GitHub, karena bug tersebut ada di JoinRequest, bug tersebut dapat dipicu sebelum otentikasi – artinya ia menawarkan eksekusi kode jarak jauh yang tidak diautentikasi kepada penyerang.

Posted By : pengeluaran hk hari ini 2021