Propusti velike ozbiljnosti otkriveni u Atlassian proizvodima i ISC BIND serveru

Atlassian i Internet Systems Consortium (ISC) otkrili su nekoliko sigurnosnih nedostataka koji utiču na njihove proizvode koji bi se mogli iskoristiti za postizanje uskraćivanja usluge (DoS) i daljinsko izvršavanje koda.

Australijski provajder softverskih usluga rekao je da su četiri velike greške ispravljene u novim verzijama koje su isporučene prošlog mjeseca. Ovo uključuje –

• CVE-2022-25647 (CVSS rezultat: 7,5) – Greška deserializacije u Google Gson paketu koja utiče na upravljanje zakrpama u Jira Service Management Data Center i Server
• CVE-2023-22512 (CVSS rezultat: 7,5) – DoS mana u Confluence Data Centeru i Serveru
• CVE-2023-22513 (CVSS rezultat: 8,5) – RCE nedostatak u Bitbucket data centru i serveru
• CVE-2023-28709 (CVSS rezultat: 7,5) – DoS greška na Apache Tomcat serveru koja utiče na Bamboo Data Center i Server

Nedostaci su otklonjeni u sljedećim verzijama –

• Jira Service Management Server i Data Center (verzije 4.20.25, 5.4.9, 5.9.2, 5.10.1, 5.11.0 ili novije)
• Confluence Server i Data Center (verzije 7.19.13, 7.19.14, 8.5.1, 8.6.0 ili novije)
• Bitbucket server i Data Center (verzije 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1, 8.14.0 ili novije)
• Bamboo Server i Data Center (verzije 9.2.4, 9.3.1 ili novije)

Ispravljene dvije velike greške u BIND-u

U vezi s tim razvojem, ISC je objavio ispravke za dvije greške velike ozbiljnosti koje utiču na softverski paket Berkeley Internet Name Domain (BIND) 9 Sistem imena domena (DNS) koji bi mogao utrti put za DoS stanje –

• CVE-2023-3341 (CVSS rezultat: 7,5) – Greška iscrpljivanja steka u kodu kontrolnog kanala može uzrokovati neočekivani završetak navedenog (popravljeno u verzijama 9.16.44, 9.18.19, 9.19.17, 9.16.494-S1 i 9.16.494-S1 .19-S1)
• CVE-2023-4236 (CVSS rezultat: 7,5) – Imenovana usluga može se neočekivano prekinuti pod velikim opterećenjem DNS-over-TLS upita (popravljeno u verzijama 9.18.19 i 9.18.19-S1)

Najnovije zakrpe stižu tri mjeseca nakon što je ISC izbacio popravke za još tri greške u softveru (CVE-2023-2828, CVE-2023-2829 i CVE-2023-2911, CVSS rezultati: 7,5) koji bi mogli dovesti do DoS stanja.

Izvor: The Hacker News