Atlassian Vá Các Lỗ Hổng Bảo Mật Trong Bitbucket, Confluence, và Jira

Atlassian, công ty nổi tiếng với các sản phẩm quản lý dự án và cộng tác như Bitbucket, Confluence, và Jira, đã phát hành các bản vá bảo mật quan trọng để khắc phục nhiều lỗ hổng nghiêm trọng. Những lỗ hổng này có thể bị khai thác để tấn công hệ thống, gây rò rỉ dữ liệu hoặc làm gián đoạn dịch vụ.

Chi Tiết Về Các Lỗ Hổng

1. Bitbucket Data Center và Server:

   • CVE-2024-21147: Lỗ hổng này liên quan đến phụ thuộc JRE được tích hợp trong Bitbucket, có thể dẫn đến các cuộc tấn công từ chối dịch vụ (DoS). Các phiên bản bị ảnh hưởng bao gồm từ 9.2.0 đến 8.19.9 (LTS) và từ 8.9.0 đến 8.9.19 (LTS). Phiên bản đã được vá là 9.2.1 và 8.19.10 (LTS).

2. Confluence Data Center và Server:

   • CVE-2024-4367: Lỗ hổng XSS (Cross-Site Scripting) lưu trữ có thể bị khai thác để thực thi mã độc hại trong trình duyệt của người dùng. Các phiên bản bị ảnh hưởng từ 8.9.0 đến 8.9.2 và nhiều phiên bản khác. Các phiên bản đã được vá bao gồm tất cả các phiên bản lớn hơn 9.0.0 và một số phiên bản cụ thể như 8.9.3 đến 8.9.7.

   • CVE-2022-31129 và CVE-2022-24785: Các lỗ hổng liên quan đến phụ thuộc moment và org.apache.commons có thể dẫn đến tấn công DoS. Các phiên bản bị ảnh hưởng và đã được vá tương tự như trên.

3. Jira Service Management Data Center và Server:

   • CVE-2024-7254: Lỗ hổng tràn bộ đệm dựa trên ngăn xếp trong phụ thuộc com.google.protobuf có thể dẫn đến tấn công từ chối dịch vụ. Các phiên bản bị ảnh hưởng từ 10.0.0 đến 10.0.15 và nhiều phiên bản khác. Phiên bản đã được vá là 10.1.1 và 5.17.4.

Khuyến Nghị Cập Nhật

Atlassian khuyến cáo người dùng nên cập nhật các sản phẩm của mình lên phiên bản mới nhất hoặc một trong các phiên bản đã được vá để bảo vệ hệ thống khỏi các lỗ hổng này. Việc cập nhật không chỉ giúp bảo vệ dữ liệu mà còn duy trì tính toàn vẹn của hệ thống.

Tham Khảo

1. Atlassian Patches Vulnerabilities in Bitbucket, Confluence, Jira

2. Atlassian Patches High-Severity Vulnerabilities in Confluence, Crucible, Jira