Atlassian a publié des avis de sécurité concernant quatre vulnérabilités critiques d'exécution de code à distance (RCE) affectant les serveurs Confluence, Jira et Bitbucket, ainsi qu'une application complémentaire pour macOS.
Tous les problèmes de sécurité abordés ont reçu une note de gravité critique d'au moins 9,0 sur 10, sur la base de l'évaluation interne d'Atlassian. Cependant, l'entreprise conseille aux entreprises d'évaluer l'applicabilité en fonction de leur environnement informatique.
L’entreprise n’a signalé aucun des problèmes de sécurité comme étant exploité à l’état sauvage. Cependant, en raison de la popularité des produits Atlassian et de leur déploiement étendu dans les environnements d'entreprise, les administrateurs système doivent donner la priorité à l'application des mises à jour disponibles.
L'ensemble des quatre vulnérabilités RCE corrigées ce mois-ci reçoivent les identifiants suivants :
- CVE-2023-22522: Faille d'injection de modèle permettant aux utilisateurs authentifiés, y compris ceux disposant d'un accès anonyme, d'injecter des entrées non sécurisées dans une page Confluence (critique, avec un score de gravité de 9,0). La faille affecte toutes les versions de Confluence Data Center et Server après 4.0.0 et jusqu'à 8.5.3.
- CVE-2023-22523: RCE privilégié dans l'agent Assets Discovery impactant Jira Service Management Cloud, Server et Data Center (critique, avec un score de gravité de 9,8). Les versions de Vulnerable Asset Discovery sont inférieures à 3.2.0 pour le cloud et à 6.2.0 pour le centre de données et le serveur.
- CVE-2023-22524: Contournement de la liste de blocage et de macOS Gatekeeper sur l'application compagnon pour Confluence Server et Data Center pour macOS, impactant toutes les versions de l'application antérieures à 2.0.0 (critique, avec un score de gravité de 9,6).
- CVE-2022-1471: RCE dans la bibliothèque SnakeYAML impactant plusieurs versions des produits Jira, Bitbucket et Confluence (critique, avec un score de gravité de 9,8).
Pour résoudre les quatre problèmes ci-dessus, il est recommandé aux utilisateurs de mettre à jour vers l'une des versions de produit suivantes :
- Confluence Data Center et serveur 7.19.17 (LTS), 8.4.5 et 8.5.4 (LTS)
- Jira Service Management Cloud (Assets Discovery) 3.2.0 ou version ultérieure, et Jira Service Management Data Center and Server (Assets Discovery) 6.2.0 ou version ultérieure.
- Application Atlassian Companion pour MacOS 2.0.0 ou version ultérieure
- Automatisation pour Jira (A4J) Marketplace App 9.0.2 et 8.2.4
- Bitbucket Data Center et Server 7.21.16 (LTS), 8.8.7, 8.9.4 (LTS), 8.10.4, 8.11.3, 8.12.1, 8.13.0, 8.14.0, 8.15.0 (Data Center uniquement ) et 8.16.0 (centre de données uniquement)
- Application de migration Confluence Cloud (CCMA) 3.4.0
- Jira Core Data Center et serveur, Jira Software Data Center et serveur 9.11.2, 9.12.0 (LTS) et 9.4.14 (LTS)
- Jira Service Management Data Center et serveur 5.11.2, 5.12.0 (LTS) et 5.4.14 (LTS)
Si la désinstallation des agents Asset Discovery pour appliquer le correctif pour CVE-2023-22523 n'est pas possible pour le moment ou doit être retardée, Atlassian propose une atténuation temporaire qui consiste à bloquer le port utilisé pour la communication avec les agents, qui est par défaut le 51337.
Dans le cas de CVE-2023-22522, il n’existe aucune solution d’atténuation. Si les administrateurs ne peuvent pas appliquer le correctif immédiatement, Atlassian recommande aux administrateurs de sauvegarder les instances concernées et de les mettre hors ligne.
Si les administrateurs ne parviennent pas à appliquer le correctif pour CVE-2023-22524, la société recommande de désinstaller l'application Atlassian Companion.