A Atlassian e o Internet Systems Consortium (ISC) divulgaram várias falhas de segurança que impactam seus produtos e que poderiam ser exploradas para alcançar a negação de serviço (DoS) e a execução remota de código.
O provedor de serviços de software australiano disse que as quatro falhas de alta gravidade foram corrigidas nas novas versões enviadas no mês passado.
Isso inclui -
CVE-2022-25647
(pontuação CVSS: 7.5) - Uma falha de desserialização no pacote Google Gson impactando o Gerenciamento de Patches no Jira Service Management Data Center e Server
CVE-2023-22512 (pontuação CVSS: 7.5) - Uma falha de DoS no Confluence Data Center e Server
CVE-2023-22513
(pontuação CVSS: 8.5) - Uma falha de RCE no Bitbucket Data Center e Server
CVE-2023-28709
(pontuação CVSS: 7.5) - Uma falha de DoS no servidor Apache Tomcat impactando o Bamboo Data Center e Server
As falhas foram corrigidas nas seguintes versões -
Jira Service Management Server e Data Center (versões 4.20.25, 5.4.9, 5.9.2, 5.10.1, 5.11.0 ou posterior)
Confluence Server e Data Center (versões 7.19.13, 7.19.14, 8.5.1, 8.6.0 ou posterior)
Bitbucket Server e Data Center (versões 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1, 8.14.0 ou posterior)
Bamboo Server e Data Center (versões 9.2.4, 9.3.1 ou posterior)
Em um desenvolvimento relacionado, o ISC lançou correções para dois bugs de alta gravidade que afetam o Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) software suite que poderiam abrir caminho para uma condição de DoS -
CVE-2023-3341
(pontuação CVSS: 7.5) - Uma falha de esgotamento de pilha no código do canal de controle pode fazer com que o named termine inesperadamente (corrigido nas versões 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 e 9.18.19-S1)
CVE-2023-4236
(pontuação CVSS: 7.5) - O serviço named pode terminar inesperadamente sob alta carga de consulta DNS sobre TLS (corrigido nas versões 9.18.19 e 9.18.19-S1)
As últimas correções chegam três meses depois que o ISC lançou correções para três outras falhas no software (
CVE-2023-2828
,
CVE-2023-2829
e
CVE-2023-2911
, pontuações CVSS: 7.5) que poderiam resultar em uma condição de DoS.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...