ClickCease Atlassian résout une vulnérabilité de sécurité critique 

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Atlassian résout une vulnérabilité de sécurité critique 

par

Le 14 février 2023 - L'équipe de relations publiques de TuxCare

Atlassian a corrigé une grave vulnérabilité de sécurité dans son serveur de gestion des services et son centre de données Jira, qui aurait pu permettre à un attaquant de se faire passer pour un autre utilisateur et d'obtenir un accès non autorisé.

La vulnérabilité, baptisée CVE-2023-22501, a été classée comme un problème d'authentification brisée avec une faible complexité d'attaque. Selon l'entreprise, la faille permettrait à l'attaquant d'accéder à une instance de Jira Service Management s'il dispose d'un accès en écriture à un répertoire d'utilisateurs et d'un courrier électronique sortant activé.

L'attaquant peut obtenir les jetons d'inscription en étant inclus dans les problèmes ou les demandes Jira des utilisateurs, ou en accédant aux courriels contenant un lien "View Request" de ces utilisateurs. La vulnérabilité affecte les clients externes qui interagissent avec l'instance par courrier électronique, même lorsque l'authentification unique (SSO) est configurée.

Les jetons que l'attaquant peut utiliser pour obtenir un accès non autorisé au serveur de gestion des services et au centre de données Jira peuvent être obtenus dans deux scénarios. Premièrement, si l'attaquant est inclus dans les problèmes ou les demandes Jira de ces utilisateurs. Deuxièmement, si l'attaquant est transféré ou obtient un accès aux courriels contenant un lien "View Request" de ces utilisateurs.

Ces jetons sont envoyés à des utilisateurs dont les comptes n'ont jamais été connectés, et dont l'accès en écriture à un répertoire d'utilisateurs et le courrier électronique sortant sont activés sur l'instance de Jira Service Management. Il est important de noter que la vulnérabilité a été introduite dans la version 5.3.0 et affecte toutes les versions suivantes jusqu'à la 5.5.0.

Atlassian a déclaré que la vulnérabilité a été introduite dans la version 5.3.0 et a un impact sur toutes les versions suivantes. La société a mis à disposition des correctifs dans les versions 5.3.3, 5.3.3, 5.5.1, et 5.6.0 ou ultérieures. Les sites Jira hébergés sur le cloud via un domaine atlassian[.]net ne sont pas affectés par la faille et aucune action n'est requise dans ce cas.

Cependant, les utilisateurs qui sont synchronisés avec le service Jira via des répertoires d'utilisateurs en lecture seule ou une authentification unique (SSO) ne sont pas affectés. Les clients externes qui interagissent avec l'instance par e-mail sont toujours vulnérables, même si le SSO est configuré.

Il est important que les utilisateurs mettent à jour leurs installations à la dernière version pour éviter les menaces potentielles, car les failles dans les produits Atlassian sont devenues un vecteur d'attaque attrayant ces derniers mois. Il y a deux mois, la société a corrigé deux failles de sécurité critiques dans ses produits Bitbucket Server, Data Center et Crowd, qui auraient pu être exploitées pour obtenir l'exécution de code et invoquer des terminaux API privilégiés.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Atlassian résout une vulnérabilité de sécurité critique 
Nom de l'article
Atlassian résout une vulnérabilité de sécurité critique 
Description
Atlassian a corrigé une grave vulnérabilité de sécurité dans son serveur de gestion des services et centre de données Jira.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !