Accueil Astuces et Informations Cybersécurité : Atlassian plie sous le poids des vulnérabilités

Cybersécurité : Atlassian plie sous le poids des vulnérabilités

5
1

Jira, Bitbucket, Confluence… Pratiquement toutes les solutions devops et collaboration d’Atlassian sont concernées par une nouvelle alerte de sécurité.
Trébuche Atlassian à nouveau. L’éditeur de logiciels orientés DevOps a publié le 20 juillet un avis de sécurité. Le fournisseur alerte ses utilisateurs et clients sur la présence de vulnérabilités critiques dans les « multiples produits » de son catalogue.

Les services impactés incluent les versions Server* et Data Center de :

– Bamboo (intégration et gestion des livraisons)
– Bitbucket (gestion du code avec Git)
– Confluence (collaboration documentaire)
– Crowd (gestion des utilisateurs)
– Jira (suivi de projets/tickets et ITSM)

Deux autres produits sont concernés :

– Crucible (revue de code pour Git)
– Fisheye (recherche et suivi de code)

Une année 2022 marquée par les failles

Une des trois vulnérabilités répertoriées CVE-2022-26136 permet à un attaquant distant et non authentifié de contourner les filtres de servlet utilisés par les applications internes et tierces.

Une deuxième faille – CVE-2022-26137 – peut être exploitée par des « acteurs malveillants » pour détourner le partage de ressources d’origine croisée (CORS).

Une dernière vulnérabilité présente dans l’avis de juillet 2022 – CVE-2022-26138 – concerne uniquement Confluence.

Il est précisé à son propos : « l’application Atlassian Questions For Confluence pour Confluence Server & Data Center crée un compte utilisateur Confluence dans le groupe confluence-users avec le nom d’utilisateur disabledsystemuser et un mot de passe codé en dur. Un attaquant distant et non authentifié connaissant le mot de passe codé en dur pourrait l’exploiter pour se connecter à Confluence et accéder à tout le contenu accessible aux utilisateurs du groupe confluence-users. »

Ou, une tierce partie externe a découvert et divulgué publiquement le mot de passe codé en dur sur Twitter, a indiqué le 21 juillet Atlassian. Le fournisseur de solutions exhorte son écosystème à s’appliquer au plus vite des correctifs.

La période est tendue. Cette alerte de sécurité intervenant quelques semaines seulement après l’annonce d’une autre faille critique, exploitée, dans Confluence.

*Atlassian ne commercialise plus de nouvelles licences Server et mettra fin au support Server le 15 février 2024. En revanche, l’entreprise basée en Australie recevra les développements Data Center de ses logiciels.

(crédit photo © Shutterstock)