HackerNews 编译,转载请注明出处:
澳大利亚软件公司 Atlassian 修复了 Bamboo、Bitbucket、Confluence、Crowd 和 Jira 产品中的 12 个关键和高危漏洞。
Atlassian 发布了安全补丁,以解决这些产品中的漏洞。其中最严重的漏洞包括:
- CVE-2024-50379(CVSS 评分为 9.8):Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在远程代码执行(RCE)漏洞。该漏洞是 Apache Tomcat 中的一个 TOCTOU 竞态条件,允许在大小写不敏感的文件系统上通过非默认的写启用 servlet 进行 RCE。受影响版本:9.0.0.M1-9.0.97、10.1.0-M1-10.1.33、11.0.0-M1-11.0.1。更新至 9.0.98、10.1.34 或 11.0.2。CVE-2024-56337(CVSS 评分为 9.8):Confluence Data Center 和 Server 中的 Apache Tomcat 依赖项存在 RCE 漏洞。该漏洞是 Apache Tomcat 的 TOCTOU 漏洞,由对 CVE-2024-50379 的不完全缓解引起。受影响版本:9.0.0-M1–9.0.97、10.1.0-M1–10.1.33、11.0.0-M1–11.0.1。需要在大小写不敏感的文件系统上进行额外配置。修复版本:Tomcat 9.0.99、10.1.35 和 11.0.3。CVE-2024-52316(CVSS 评分为 9.8):Crowd Data Center 和 Server 中的 Apache Tomcat 依赖项存在认证绕过和会话管理(BASM)漏洞。Apache Tomcat 的 Jakarta Authentication 中的一个未检查错误可能导致认证绕过,如果自定义 ServerAuthContext 在未设置 HTTP 状态的情况下失败。受影响版本:9.0.0-M1–9.0.95、10.1.0-M1–10.1.30、11.0.0-M1–11.0.0-M26。更新至 9.0.96、10.1.31 或 11.0.0。
Atlassian 未披露这些漏洞是否已在野外被利用。
消息来源:Security Affairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
