Atlassian Merilis Perbaikan untuk Lebih dari 2 Lusin Cacat, Termasuk Bug Bambu Kritis
Atlassian telah merilis tambalan untuk lebih dari dua lusin kelemahan keamanan , termasuk bug kritis yang berdampak pada Pusat Data dan Server Bamboo yang dapat dieksploitasi tanpa memerlukan interaksi pengguna.
Dilacak sebagai CVE-2024-1597 , kerentanan ini memiliki skor CVSS 10,0, yang menunjukkan tingkat keparahan maksimum.
Digambarkan sebagai kelemahan injeksi SQL, hal ini berakar pada ketergantungan yang disebut org.postgresql:postgresql, sebagai akibatnya perusahaan mengatakan hal itu “menghadirkan risiko yang dinilai lebih rendah” meskipun sangat penting.
“Kerentanan ketergantungan org.postgresql:postgresql ini […] dapat memungkinkan penyerang yang tidak diautentikasi mengekspos aset di lingkungan Anda yang rentan terhadap eksploitasi yang berdampak tinggi terhadap kerahasiaan, berdampak tinggi terhadap integritas, berdampak tinggi terhadap ketersediaan, dan tidak memerlukan interaksi pengguna , ” kata Atlassian .
Menurut deskripsi kelemahan dalam National Vulnerability Database (NVD) NIST, “pgjdbc, Driver JDBC PostgreSQL, memungkinkan penyerang memasukkan SQL jika menggunakan PreferQueryMode=SIMPLE.” Versi driver sebelum yang tercantum di bawah ini terpengaruh –
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9, dan
- 42.2.28 (juga diperbaiki di 42.2.28.jre7)
“Injeksi SQL dimungkinkan ketika menggunakan properti koneksi non-default preferQueryMode=simple yang dikombinasikan dengan kode aplikasi yang memiliki SQL rentan yang meniadakan nilai parameter,” kata pengelola dalam sebuah penasehat bulan lalu.
“Tidak ada kerentanan pada driver saat menggunakan mode kueri default. Pengguna yang tidak mengesampingkan mode kueri tidak akan terpengaruh.”
Kerentanan Atlassian dikatakan telah diperkenalkan pada versi Pusat Data dan Server Bamboo berikut –
- 8.2.1
- 9.0.0
- 9.1.0
- 9.2.1
- 9.3.0
- 9.4.0, dan
- 9.5.0
Perusahaan juga menekankan bahwa Bamboo dan produk Pusat Data Atlassian lainnya tidak terpengaruh oleh CVE-2024-1597 karena mereka tidak menggunakan PreferQueryMode=SIMPLE dalam pengaturan koneksi database SQL mereka.
Peneliti keamanan SonarSource, Paul Gerste, dianggap telah menemukan dan melaporkan kelemahan tersebut. Pengguna disarankan untuk memperbarui instance mereka ke versi terbaru untuk melindungi dari potensi ancaman.