Alert GCSA-24007 - Vulnerabilita' nei prodotti Atlassian
******************************************************************
Alert ID: GCSA-24007
data: 16 gennaio 2024
titolo: Vulnerabilita' nei prodotti Atlassian
******************************************************************
:: Descrizione del problema
Atlassian ha pubblicato un security bulletin
relativo a 28 vulnerabilita' di livello alto,
che vengono risolte con nuove versioni dei prodotti.
Tra le vulnerabilita' si segnala la seguente di livello critico
CVE-2023-22527 (Max CVSS: 10.0)
https://u.garr.it/zWDGV
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
Crowd Data Center e Server
Bamboo Data Center e Server
Bitbucket Data Center e Server
Confluence Data Center e Server
Jira Data Center e Server
Jira Service Management Data Center e Server
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Rivelazione di informazioni (ID)
Server-side request forgery (SSRF)
XXE (XML External Entity Injection)
HTTP request smuggling (HRS)
:: Soluzioni
Atlassian consiglia di aggiornare tutti i prodotti alla versione piu' recente.
Se non e' possibile farlo, applicare la versione minima indicata nella seguente lista.
Product Patch to a minimum fix version of
------------------------------------------------------------------------------------------------
Bitbucket Data Center 7.21.21, 8.9.9, 8.13.5, 8.14.4, 8.15.3, 8.16.2, 8.17.0 or latest
Bitbucket Server 7.21.21, 8.9.9, 8.13.5, 8.14.4
Bamboo Data Center and Server 9.2.9, 9.3.6, 9.4.2 or latest
Jira Data Center and Server 9.4.13, 9.7.0 or latest
Jira Service Management Data Center and Server 4.20.30, 5.4.15, 5.12.2 or latest
Crowd Data Center and Server 5.2.2 or latest
Confluence Data Center 7.19.18, 8.5.5, 8.7.2 or latest
Confluence Server 7.19.18, 8.5.5
La versione piu' recente di Confluence e' disponibile al seguente link
https://www.atlassian.com/software/confluence/download-archives
:: Riferimenti
Atlassian - Security Advisories & Bulletins
https://confluence.atlassian.com/security/security-bulletin-january-16-2024-1333335615.html
https://www.atlassian.com/trust/security/advisories
https://www.atlassian.com/trust/data-protection/vulnerabilities
Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZaaDNw0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBC+sMAoKIxXhBM/hKnSxhiDgNhyCY7oM0qAKDLLH8jahUr
X3Vnj8HWDfekIeYdtQ==
=bMQ4
-----END PGP SIGNATURE-----
Alert ID: GCSA-24007
data: 16 gennaio 2024
titolo: Vulnerabilita' nei prodotti Atlassian
******************************************************************
:: Descrizione del problema
Atlassian ha pubblicato un security bulletin
relativo a 28 vulnerabilita' di livello alto,
che vengono risolte con nuove versioni dei prodotti.
Tra le vulnerabilita' si segnala la seguente di livello critico
CVE-2023-22527 (Max CVSS: 10.0)
https://u.garr.it/zWDGV
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
Crowd Data Center e Server
Bamboo Data Center e Server
Bitbucket Data Center e Server
Confluence Data Center e Server
Jira Data Center e Server
Jira Service Management Data Center e Server
:: Impatto
Esecuzione remota di codice arbitrario (RCE)
Denial of Service (DoS)
Rivelazione di informazioni (ID)
Server-side request forgery (SSRF)
XXE (XML External Entity Injection)
HTTP request smuggling (HRS)
:: Soluzioni
Atlassian consiglia di aggiornare tutti i prodotti alla versione piu' recente.
Se non e' possibile farlo, applicare la versione minima indicata nella seguente lista.
Product Patch to a minimum fix version of
------------------------------------------------------------------------------------------------
Bitbucket Data Center 7.21.21, 8.9.9, 8.13.5, 8.14.4, 8.15.3, 8.16.2, 8.17.0 or latest
Bitbucket Server 7.21.21, 8.9.9, 8.13.5, 8.14.4
Bamboo Data Center and Server 9.2.9, 9.3.6, 9.4.2 or latest
Jira Data Center and Server 9.4.13, 9.7.0 or latest
Jira Service Management Data Center and Server 4.20.30, 5.4.15, 5.12.2 or latest
Crowd Data Center and Server 5.2.2 or latest
Confluence Data Center 7.19.18, 8.5.5, 8.7.2 or latest
Confluence Server 7.19.18, 8.5.5
La versione piu' recente di Confluence e' disponibile al seguente link
https://www.atlassian.com/software/confluence/download-archives
:: Riferimenti
Atlassian - Security Advisories & Bulletins
https://confluence.atlassian.com/security/security-bulletin-january-16-2024-1333335615.html
https://www.atlassian.com/trust/security/advisories
https://www.atlassian.com/trust/data-protection/vulnerabilities
Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZaaDNw0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBC+sMAoKIxXhBM/hKnSxhiDgNhyCY7oM0qAKDLLH8jahUr
X3Vnj8HWDfekIeYdtQ==
=bMQ4
-----END PGP SIGNATURE-----