Des failles de grande gravité découvertes dans les produits Atlassian et le serveur ISC BIND

teknomers


22 septembre 2023THNSécurité/vulnérabilité du serveur

Atlassian et l’Internet Systems Consortium (ISC) ont révélé plusieurs failles de sécurité affectant leurs produits qui pourraient être exploitées pour provoquer un déni de service (DoS) et l’exécution de code à distance.

Le fournisseur australien de services logiciels dit que les quatre failles de haute gravité ont été corrigées dans les nouvelles versions livrées le mois dernier. Ceci comprend –

  • CVE-2022-25647 (score CVSS : 7,5) – Une faille de désérialisation dans le package Google Gson impactant la gestion des correctifs dans le centre de données et le serveur Jira Service Management
  • CVE-2023-22512 (score CVSS : 7,5) – Une faille DoS dans Confluence Data Center et Server
  • CVE-2023-22513 (score CVSS : 8,5) – Une faille RCE dans Bitbucket Data Center et Server
  • CVE-2023-28709 (score CVSS : 7,5) – Une faille DoS dans le serveur Apache Tomcat impactant Bamboo Data Center et Server

Les failles ont été corrigées dans les versions suivantes –

  • Jira Service Management Server et Data Center (versions 4.20.25, 5.4.9, 5.9.2, 5.10.1, 5.11.0 ou ultérieures)
  • Confluence Server et Data Center (versions 7.19.13, 7.19.14, 8.5.1, 8.6.0 ou ultérieures)
  • Bitbucket Server et Data Center (versions 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1, 8.14.0 ou ultérieure)
  • Bamboo Server et Data Center (versions 9.2.4, 9.3.1 ou ultérieures)

Correction de deux failles de grande gravité dans BIND

Dans un développement connexe, ISC a publié des correctifs pour deux bogues de haute gravité affectant la suite logicielle Berkeley Internet Name Domain (BIND) 9 Domain Name System (DNS) qui pourraient ouvrir la voie à une condition DoS –

  • CVE-2023-3341 (score CVSS : 7,5) – Un défaut d’épuisement de la pile dans le code du canal de contrôle peut entraîner la fin inattendue de Named (corrigé dans les versions 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 et 9.18.19-S1)
  • CVE-2023-4236 (score CVSS : 7,5) – Le service nommé peut se terminer de manière inattendue en cas de charge de requête DNS sur TLS élevée (corrigé dans les versions 9.18.19 et 9.18.19-S1)

Les derniers correctifs arrivent trois mois après qu’ISC a déployé des correctifs pour trois autres failles du logiciel (CVE-2023-2828, CVE-2023-2829 et CVE-2023-2911, scores CVSS : 7,5) qui pourraient entraîner une condition DoS. .

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57