Falhas de Alta Gravidade Descobertas em Produtos Atlassian e Servidor ISC BIND
22 de Setembro de 2023

A Atlassian e o Internet Systems Consortium (ISC) divulgaram várias falhas de segurança que impactam seus produtos e que poderiam ser exploradas para alcançar a negação de serviço (DoS) e a execução remota de código.

O provedor de serviços de software australiano disse que as quatro falhas de alta gravidade foram corrigidas nas novas versões enviadas no mês passado.

Isso inclui -

CVE-2022-25647 (pontuação CVSS: 7.5) - Uma falha de desserialização no pacote Google Gson impactando o Gerenciamento de Patches no Jira Service Management Data Center e Server

CVE-2023-22512 (pontuação CVSS: 7.5) - Uma falha de DoS no Confluence Data Center e Server

CVE-2023-22513 (pontuação CVSS: 8.5) - Uma falha de RCE no Bitbucket Data Center e Server

CVE-2023-28709 (pontuação CVSS: 7.5) - Uma falha de DoS no servidor Apache Tomcat impactando o Bamboo Data Center e Server

As falhas foram corrigidas nas seguintes versões -

Jira Service Management Server e Data Center (versões 4.20.25, 5.4.9, 5.9.2, 5.10.1, 5.11.0 ou posterior)

Confluence Server e Data Center (versões 7.19.13, 7.19.14, 8.5.1, 8.6.0 ou posterior)

Bitbucket Server e Data Center (versões 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1, 8.14.0 ou posterior)

Bamboo Server e Data Center (versões 9.2.4, 9.3.1 ou posterior)

Em um desenvolvimento relacionado, o ISC lançou correções para dois bugs de alta gravidade que afetam o Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) software suite que poderiam abrir caminho para uma condição de DoS -

CVE-2023-3341 (pontuação CVSS: 7.5) - Uma falha de esgotamento de pilha no código do canal de controle pode fazer com que o named termine inesperadamente (corrigido nas versões 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 e 9.18.19-S1)

CVE-2023-4236 (pontuação CVSS: 7.5) - O serviço named pode terminar inesperadamente sob alta carga de consulta DNS sobre TLS (corrigido nas versões 9.18.19 e 9.18.19-S1)

As últimas correções chegam três meses depois que o ISC lançou correções para três outras falhas no software ( CVE-2023-2828 , CVE-2023-2829 e CVE-2023-2911 , pontuações CVSS: 7.5) que poderiam resultar em uma condição de DoS.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...