Atlassian đã phát hành các bản vá lỗi cho hơn hai chục lỗi bảo mật, bao gồm một lỗi nghiêm trọng ảnh hưởng đến Trung tâm dữ liệu và Máy chủ Bamboo có thể bị khai thác mà không yêu cầu tương tác của người dùng.
Được theo dõi là CVE-2024-1597, lỗ hổng bảo mật có điểm CVSS là 10.0, cho thấy mức độ nghiêm trọng tối đa.
Được mô tả là một lỗ hổng SQL injection, nó bắt nguồn từ một phụ thuộc được gọi là org.postgresql: postgresql, do đó công ty cho biết nó "có rủi ro được đánh giá thấp hơn" bất chấp mức độ nghiêm trọng.
"Lỗ hổng phụ thuộc org.postgresql:postgresql này [...] có thể cho phép kẻ tấn công chưa được xác thực để lộ tài sản trong môi trường của bạn dễ bị khai thác, có tác động cao đến tính bảo mật, tác động cao đến tính toàn vẹn, tác động cao đến tính khả dụng và không yêu cầu tương tác của người dùng, "Atlassian nói.
Theo mô tả về lỗ hổng trong Cơ sở dữ liệu lỗ hổng quốc gia (NVD) của NIST, "pgjdbc, Trình điều khiển PostgreSQL JDBC, cho phép kẻ tấn công tiêm SQL nếu sử dụng PreferQueryMode = SIMPLE." Các phiên bản trình điều khiển trước các phiên bản được liệt kê dưới đây bị ảnh hưởng -
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9, và
- 42.2.28 (cũng cố định trong 42.2.28.jre7)
"SQL injection có thể khi sử dụng thuộc tính kết nối không mặc định preferQueryMode = simple kết hợp với mã ứng dụng có SQL dễ bị tấn công phủ nhận giá trị tham số", các nhà bảo trì cho biết trong một tư vấn vào tháng trước.
"Không có lỗ hổng trong trình điều khiển khi sử dụng chế độ truy vấn mặc định. Người dùng không ghi đè chế độ truy vấn sẽ không bị ảnh hưởng."
Công ty cũng nhấn mạnh rằng Bamboo và các sản phẩm Trung tâm dữ liệu Atlassian khác không bị ảnh hưởng bởi CVE-2024-1597 vì họ không sử dụng PreferQueryMode = SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL của họ.
Nhà nghiên cứu bảo mật Paul Gerste của SonarSource đã được ghi nhận là người phát hiện và báo cáo lỗ hổng. Người dùng nên cập nhật phiên bản của họ lên phiên bản mới nhất để bảo vệ chống lại mọi mối đe dọa tiềm ẩn.