{"id":470609,"date":"2022-11-19T03:28:33","date_gmt":"2022-11-19T05:28:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/atlassian-publie-des-correctifs-pour-les-failles-critiques-affectant-les-produits-crowd-et-bitbucket\/"},"modified":"2022-11-19T03:28:34","modified_gmt":"2022-11-19T05:28:34","slug":"atlassian-publie-des-correctifs-pour-les-failles-critiques-affectant-les-produits-crowd-et-bitbucket","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/atlassian-publie-des-correctifs-pour-les-failles-critiques-affectant-les-produits-crowd-et-bitbucket\/","title":{"rendered":"Atlassian publie des correctifs pour les failles critiques affectant les produits Crowd et Bitbucket"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>La soci\u00e9t\u00e9 de logiciels australienne Atlassian a d\u00e9ploy\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour r\u00e9pondre <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/security\/november-2022-atlassian-security-advisories-overview-1167844594.html\" target=\"_blank\">deux d\u00e9fauts critiques<\/a> affectant les produits Bitbucket Server, Data Center et Crowd.<\/p>\n<p>Les probl\u00e8mes, suivis comme <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/bitbucketserver\/bitbucket-server-and-data-center-security-advisory-2022-11-16-1180141667.html\" target=\"_blank\"><strong>CVE-2022-43781<\/strong><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/confluence.atlassian.com\/crowd\/crowd-security-advisory-november-2022-1168866129.html\" target=\"_blank\"><strong>CVE-2022-43782<\/strong><\/a>sont tous deux not\u00e9s 9 sur 10 sur le syst\u00e8me de notation des vuln\u00e9rabilit\u00e9s CVSS.<\/p>\n<p>CVE-2022-43781, qui, selon Atlassian, a \u00e9t\u00e9 introduit dans la version 7.0.0 de Bitbucket Server et Data Center, affecte les versions 7.0 \u00e0 7.21 et 8.0 \u00e0 8.4 (uniquement si mesh.enabled est d\u00e9fini sur false dans bitbucket.properties).<\/p>\n<p>La faiblesse a \u00e9t\u00e9 d\u00e9crite comme un cas d&#8217;injection de commande \u00e0 l&#8217;aide de variables d&#8217;environnement dans le logiciel, ce qui pourrait permettre \u00e0 un adversaire autoris\u00e9 \u00e0 contr\u00f4ler son nom d&#8217;utilisateur d&#8217;obtenir l&#8217;ex\u00e9cution de code sur le syst\u00e8me affect\u00e9.<\/p>\n<p>Comme solution de contournement temporaire, la soci\u00e9t\u00e9 recommande aux utilisateurs de d\u00e9sactiver l&#8217;option &#8220;Inscription publique&#8221; (Administration\u00a0> Authentification).<\/p>\n<p>&#8220;La d\u00e9sactivation de l&#8217;inscription publique changerait le vecteur d&#8217;attaque d&#8217;une attaque non authentifi\u00e9e \u00e0 une attaque authentifi\u00e9e, ce qui r\u00e9duirait le risque d&#8217;exploitation&#8221;, a-t-il not\u00e9 dans un avis.  &#8220;Les utilisateurs authentifi\u00e9s par ADMIN ou SYS_ADMIN ont toujours la possibilit\u00e9 d&#8217;exploiter la vuln\u00e9rabilit\u00e9 lorsque l&#8217;inscription publique est d\u00e9sactiv\u00e9e.&#8221;<\/p>\n<p>La deuxi\u00e8me vuln\u00e9rabilit\u00e9, CVE-2022-43782, concerne une mauvaise configuration dans Crowd Server et Data Center qui pourrait permettre \u00e0 un attaquant d&#8217;invoquer des points de terminaison d&#8217;API privil\u00e9gi\u00e9s, mais uniquement dans les sc\u00e9narios o\u00f9 le mauvais acteur se connecte \u00e0 partir d&#8217;une adresse IP ajout\u00e9e \u00e0 la configuration de l&#8217;adresse distante. .<\/p>\n<p>Introduite dans Crowd 3.0.0 et identifi\u00e9e lors d&#8217;un examen de s\u00e9curit\u00e9 interne, la lacune affecte toutes les nouvelles installations, ce qui signifie que les utilisateurs qui ont mis \u00e0 niveau \u00e0 partir d&#8217;une version ant\u00e9rieure \u00e0 Crowd 3.0.0 ne sont pas vuln\u00e9rables.<\/p>\n<p>Il n&#8217;est pas rare que des failles dans Atlassian et Bitbucket soient soumises \u00e0 une exploitation active dans la nature, ce qui oblige les utilisateurs \u00e0 agir rapidement pour appliquer les correctifs.<\/p>\n<p>Le mois dernier, la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis a averti qu&#8217;une faille d&#8217;injection de commandes dans Bitbucket Server and Data Center (CVE-2022-36804, score CVSS\u00a0: 9,9) \u00e9tait militaris\u00e9e dans des attaques depuis fin septembre 2022.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/atlassian-releases-patches-for-critical.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La soci\u00e9t\u00e9 de logiciels australienne Atlassian a d\u00e9ploy\u00e9 des mises \u00e0 jour de s\u00e9curit\u00e9 pour r\u00e9pondre deux d\u00e9fauts critiques affectant les produits Bitbucket Server, Data Center et Crowd. Les probl\u00e8mes, suivis comme CVE-2022-43781 et CVE-2022-43782sont tous deux not\u00e9s 9 sur 10 sur le syst\u00e8me de notation des vuln\u00e9rabilit\u00e9s CVSS. CVE-2022-43781, qui, selon Atlassian, a \u00e9t\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":470610,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[34911,54518,103596,4168,15954,5729,125678,4158,4165,4161,133,4806,4157,4159,4171,4170,65,4167,4160,4163,4162,185,2726,2212,4172,4169,4166,4164],"class_list":["post-470609","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-affectant","tag-atlassian","tag-bitbucket","tag-comment-pirater","tag-correctifs","tag-critiques","tag-crowd","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-failles","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pour","tag-produits","tag-publie","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/470609","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=470609"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/470609\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/470610"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=470609"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=470609"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=470609"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}