Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Atlassian Güvenlik Açıkları Bulut Hizmetlerinin Kritikliğini Vurguluyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Atlassian Güvenlik Açıkları Bulut Hizmetlerinin Kritikliğini Vurguluyor

GenelSiber Güvenlik

Atlassian Güvenlik Açıkları Bulut Hizmetlerinin Kritikliğini Vurguluyor

teknomers
Son güncelleme: 25 Ekim 2022 10:17
teknomers
Paylaş
Paylaş



Çevik bir hizmet olarak planlama yazılımı (SaaS) aracı olan Atlassian Jira Align’daki iki güvenlik açığı, hizmete erişimi olan kullanıcıların uygulama yöneticisi olmalarına ve ardından Atlassian hizmetine saldırmalarına izin verebilir.

Bu, siber güvenlik hizmetleri firması Bishop Fox’a göre, bugün bir danışma belgesinde, güvenlik açıklarının nispeten iyi bilinen, ancak genellikle yakalanması zor kusurlar tarafından bulut hizmetlerine yönelik riskleri simgelediğini söyledi.

bu Bishop Fox tarafından bulunan iki güvenlik açığı Çevik geliştirme hedefleri belirlemek, bu hedeflere yönelik çabaları izlemek ve çevik stratejiler oluşturmak için kullanılan Jira Align uygulamasını etkiler. Bishop Fox, Jira Align’ın her örneği Atlassian tarafından sağlandığından, bir saldırganın şirketin bulut altyapısının bir bölümünün kontrolünü ele geçirebileceğini belirtti.

Bishop Fox’a göre, bir sunucu tarafı istek sahteciliği (SSRF) olan bir güvenlik açığı, bir kullanıcının “Jira Align örneğini sağlayan Atlassian hizmet hesabının AWS kimlik bilgilerini” almasına izin verebilir.

İkinci güvenlik açığı – Kişiler rolüne sahip kullanıcılar için yetkilendirme mekanizmasında – bu kullanıcıların rollerini, hesapları sıfırlama ve ayarları değiştirme gibi Jira Align kiracısının tüm ayarlarına erişimi olan Süper Yönetici’ye yükseltmelerine izin verebilir.

Kusurları bulan Bishop Fox’un güvenlik danışmanı Jake Shafer, iki kusurun birleşiminin önemli bir saldırıya izin verebileceğini söylüyor.

“Yetkilendirme bulgusunu kullanmak, düşük ayrıcalıklı bir kullanıcının rolünü süper yöneticiye yükseltmesine izin verecek ve bu da bilgi ifşası açısından saldırganın, SaaS istemcisinin Jira dağıtımında sahip olduğu her şeye erişmesine izin verecek” diyor. . “Oradan saldırgan, Atlassian altyapısının peşinden gitmek için SSRF bulgusunu kullanabilir.”

Bishop Fox tarafından yayınlanan açıklama zaman çizelgesine göre, her iki güvenlik açığı da düzeltildi – ilki bir hafta içinde ve ikincisi bir ay içinde.

Bununla birlikte, şirketler, bulut uygulamalarına artan bağımlılığın, bulut hizmetlerine ve iş yüklerine yönelik saldırıları çok daha yaygın hale getirdiğini, öyle ki üst düzey güvenlik açığı, Açık Web Uygulama Güvenliği Projesine (OWASP) görebozuk kimlik doğrulama ve erişim denetimi sorunları.

Ayrıca, otomatik araçların tam olarak tespit etmesi için yetkilendirme sorunları zordur; artı SSRF, saldırıları gerçekleştirmek için bir bulut hizmetinin işlevselliğini ve sunucularını kullanan, genellikle ağ kenarındaki güvenliği ve bazı dahili güvenlik önlemlerini atlayan nispeten yeni bir güvenlik açığı sınıfıdır.

Atlassian’ın Jira yazılımı, sunucu tarafı istek sahteciliğinin diğer örnekleriyle zaten uğraşmak zorunda kaldı, ancak şirket yalnız değil. 2019’da eski bir Amazon Web Hizmetleri, finans şirketi Capital One’dan veri çalmak için bir SSRF güvenlik açığı kullandı.

Bulut Güvenliği Hatalarıyla Nasıl Mücadele Edilir?

Shafer, bulut hizmetlerinin şirketlerin büyük çoğunluğunun operasyonlarının bir parçası haline gelmesiyle, en önemli bulut güvenlik açıklarıyla mücadele etmenin kritik olduğunu söylüyor.

“Bu SaaS uygulamalarının küçük ve büyük şirketlerin günlük operasyonlarında ne kadar entegre hale geldiğinin yaygınlığı ile, bu köklü şirketlerin bile hata yapabileceğini hatırlamak önemlidir” diyor. “Güven, ancak güvenmeniz gereken tüm yeni yazılımlar için, özellikle de teknolojide yerleşik bir şey için doğrulayın.”

Shafer, bu en son güvenlik açıklarının, geliştiricilerin bir isteği tamamlamadan önce kullanıcılar tarafından sağlanan içeriği her zaman iki kez kontrol etmeleri gerektiğini vurguladığını söylüyor. Ek giriş temizleme kontrolleri her iki saldırıyı da önleyebilir.

“Müşterilerin bulut altyapınıza girmesine izin veriyorsunuz, hizmet için para ödüyor olabilirler, ancak günün sonunda potansiyel bir saldırgan kadar güvenilmez olarak kabul edilmeleri gerekir” diyor.

Şirketler, üçüncü taraf uygulamalarını manuel olarak test ettiğinden veya bulut sağlayıcısına ulaştığından ve güvenlik değerlendirmelerinin sonuçlarını kontrol ettiğinden emin olmalıdır. Shafer, ne yazık ki otomatik araçların yetkilendirme sorunlarını keşfetme konusunda pek iyi olmadığını söylüyor.

“Bu araçlar, neyin aranacağına dair bir dizi talimata veya yönergeye dayanır ve yetkilendirme sorunlarıyla başa çıkmak, oradaki her bir yazılım parçası için farklı olacaktır” diyor. “Bir tarayıcının anlayabileceği ve ‘Hey, X kullanıcısı bu özel işlevsellik bağlamında Y’yi yapamaz’ diyebileceği bir dizi kural oluşturmak çok zor.”

Shafer, Atlassian’ın tepkisini övdü ve şirketin “tüm doğru şeyleri yaptığını” söyledi. Atlassian, zaman yayınlayarak bir yorumda bulunmadı.



siber-1

Samsung’un 3nm Verimlerinin, Geliştirilmiş Testlere İzin Veren ‘Yavaş Yarı İletken’ Pazarıyla TSMC’lerden Daha Yüksek Olduğu Bildirildi
Ubisoft, Star Wars Outlaws’ın Dünyası, Karakterleri ve Sendikaları Hakkında Yeni Detayları Açıkladı
Siyasal Casuslukla Mücadele Eden Siyasçinin Telefonu Pegasus ile Hacklendi
Twitter Blue for Business artık çalışanlarınızı takip etmenize yardımcı oluyor
Honkai: Star Rail oyuncuları ve seslendirme sanatçıları listesi
ETİKETLENDİ:AçıklarıAtlassianbulutgüvenlikhizmetlerininKritikliğiniVurguluyor
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Apple, iPadOS 16’yı piyasaya sürdü ve sonunda iPad’inizi çok görevli bir canavara dönüştürdü
Sonraki Makale Apex Legends, Sezon 15’te hediye özelliği ve çıkartma kozmetikleri ekliyor

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Ukrayna, 12 saatlik uçuşla 2,500 km’lik rekor drone saldırısı düzenledi
Donanım
OpenAI Çalışanları, Patronlarına Karşı Rakip Süper PAC Finanse Ediyor!
Genel
Kritik Uyarı: Bazı Dell PC’ler Windows Güncellemeleriyle Kapanıyor!
Siber Güvenlik
Acil: ABD, Rusya’nın Güvenli Hosting Operatörlerine İhtiyaç Duyuyor!
Siber Güvenlik
Laravel (Blade/Livewire/React) için bir GDPR çerez onay paketi oluşturuldu — geri bildirim bekleniyor
Yazılım
Yenilenen Parry Mekaniğiyle Oyun Deneyimini Zirveye Taşıyor
Oyun
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?