Atlassian şu yamaları yayınladı: iki düzineden fazla güvenlik açığıBambu Veri Merkezini ve Sunucusunu etkileyen, kullanıcı etkileşimi gerekmeden kötüye kullanılabilen kritik bir hata da dahil.
Şu şekilde izlendi: CVE-2024-1597güvenlik açığı, maksimum ciddiyeti gösteren 10,0 CVSS puanına sahiptir.
SQL enjeksiyon kusuru olarak tanımlanan hatanın kökeni org.postgresql:postgresql adı verilen bir bağımlılığa dayanıyor ve bunun sonucunda şirket, kritikliğe rağmen “daha düşük bir risk değerlendirmesi sunduğunu” söyledi.
“Bu org.postgresql:postgresql bağımlılığı güvenlik açığı […] Kimliği doğrulanmamış bir saldırganın, ortamınızdaki gizlilik üzerinde yüksek etkiye, bütünlüğe yüksek etkiye, kullanılabilirliğe yüksek etkiye sahip olan ve kullanıcı etkileşimi gerektirmeyen, istismara açık varlıkları açığa çıkarmasına izin verebilir.” Atlassian söz konusu.
Bir göre Tanım NIST’in Ulusal Güvenlik Açığı Veritabanındaki (NVD) kusurun bir sonucu olarak, “PostgreSQL JDBC Sürücüsü pgjdbc, PreferQueryMode=SIMPLE kullanıldığında saldırganın SQL enjekte etmesine izin veriyor.” Aşağıda listelenenlerden önceki sürücü sürümleri etkilenmiştir –
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9 ve
- 42.2.28 (42.2.28.jre7’de de düzeltildi)
Bakımcılar, “Varsayılan olmayan bağlantı özelliği tercihQueryMode=simple, bir parametre değerini geçersiz kılan güvenlik açığına sahip bir SQL’e sahip uygulama koduyla birlikte kullanıldığında SQL enjeksiyonu mümkündür.” söz konusu geçen ay bir tavsiye niteliğinde.
“Varsayılan sorgu modunu kullanırken sürücüde herhangi bir güvenlik açığı yoktur. Sorgu modunu geçersiz kılmayan kullanıcılar etkilenmez.”
Atlassian güvenlik açığının Bamboo Veri Merkezi ve Sunucusunun aşağıdaki sürümlerinde tanıtıldığı söyleniyor:
- 8.2.1
- 9.0.0
- 9.1.0
- 9.2.1
- 9.3.0
- 9.4.0 ve
- 9.5.0
Şirket ayrıca, Bamboo ve diğer Atlassian Veri Merkezi ürünlerinin, SQL veritabanı bağlantı ayarlarında PreferQueryMode=SIMPLE kullanmadıkları için CVE-2024-1597’den etkilenmediğini vurguladı.
SonarSource güvenlik araştırmacısı Paul Gerste, kusuru keşfetme ve raporlama konusunda itibar kazandı. Olası tehdide karşı korunmak için kullanıcıların örneklerini en son sürüme güncellemeleri önerilir.