В Jira пропатчили критическую уязвимость аутентификации
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

Оставить заявку →
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

В Jira пропатчили критическую уязвимость аутентификации

В Jira пропатчили критическую уязвимость аутентификации

Atlassian выпустила патчи, устраняющие критическую уязвимость в программных продуктах Jira Service Management Server и Data Center. Атакующие могут использовать эту брешь для получения несанкционированного доступа к затронутым установкам.

Сама уязвимость получила идентификатор CVE-2023-22501 и 9,4 балла по шкале CVSS. Согласно описанию, проблема представляет собой некорректную работу механизма аутентификации. Эксплуатация бреши не требует от злоумышленника высокой квалификации.

«В Jira Service Management Server и Data Center обнаружилась проблема аутентификации, позволяющая атакующему выдать себя за другого пользователя и получить доступ к установке Jira Service Management», — гласит уведомление Atlassian.

«С возможностью записи в директорию пользователя и включённой исходящей почтой в Jira Service Management злоумышленник может добраться до токенов регистрации».

В компании уточнили, что уязвимость не угрожает тем, кто синхронизирован с сервисами Jira через пользовательские директории в режиме read-only, или же тем, кто использует SSO. Баг впервые появился в версии 5.3.0 и затрагивает 5.3.1, 5.3.2, 5.4.0, 5.4.1 и 5.5.0. Патчи доступны с релизами под номерами 5.3.3, 5.3.3, 5.5.1 и 5.6.0.