Free

Atlassian veröffentlicht Fix für kritische Bamboo-Schwachstelle

Atlassian hat Sicherheitspatches für über zwei Dutzend Schwachstellen veröffentlicht, darunter eine kritische Lücke in Bamboo Data Center und Server. Diese Schwachstelle wird als CVE-2024-1597 geführt und ermöglichte Angriffe ohne Benutzerinteraktion. Sie erhielt einen CVSS-Score von 10.0, also den höchsten Schweregrad.

Bedrohungen
Lesezeit 1 Min.

Ein Sicherheitsexperte von SonarSource hat die Schwachstelle entdeckt und gemeldet. Den Benutzern wird empfohlen, ihre Instanzen auf die neueste Version zu aktualisieren, um sich vor möglichen Bedrohungen zu schützen.

Atlassian relativierte die Schwere der Schwachstelle in einer Erklärung. Als SQL-Injection-Schwachstelle sei sie in einer Abhängigkeit namens org.postgresql:postgresql gefunden worden. Damit sei sie trotz ihrer Schwere als „geringeres Risiko“ einzustufen.

„org.postgresql:postgresql“ ist eine Bezeichnung für eine spezifische Software-Abhängigkeit in der Programmierung. In diesem Fall handelt es sich um eine Abhängigkeit für PostgreSQL, eine weit verbreitete Open-Source-Datenbank. In Softwareprojekten werden Abhängigkeiten wie diese genutzt, um auf externe Bibliotheken oder Frameworks zuzugreifen, die bestimmte Funktionen bereitstellen, die in der eigenen Anwendung benötigt werden.

Atlassian räumt ein, dass die beschriebene kritische Schwachstelle es einem nicht authentifizierten Angreifer ermöglichen könnte, vertrauliche Daten preiszugeben. Die Ausnutzung könnte hohe Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Assets haben. Eine Benutzerinteraktion sei nicht erforderlich.

Laut einer Beschreibung der Schwachstelle in der National Vulnerability Database (NVD) des NIST erlaubt der PostgreSQL JDBC-Treiber namens pgjdbc SQL-Injection-Angriffe, wenn die Einstellung PreferQueryMode auf SIMPLE gesetzt ist. Von dieser Schwachstelle betroffen sind Treiberversionen vor den folgenden:

  • 42.7.2
  • 42.6.1
  • 42.5.5
  • 42.4.4
  • 42.3.9
  • 42.2.28 (auch behoben in 42.2.28.jre7)

Die Entwickler haben in einem Advisory letzten Monat darauf hingewiesen, dass eine SQL-Injektion möglich ist, wenn die nicht standardmäßige Verbindungseigenschaft preferQueryMode=simple zusammen mit anfälligem SQL-Code verwendet wird, der einen Parameterwert negiert.

Es wurde klargestellt, dass es keine Sicherheitslücke im Treiber gibt, wenn der Standardabfragemodus verwendet wird. Benutzer, die den Abfragemodus nicht ändern, sind also nicht betroffen.

Die Sicherheitslücke in Bamboo Data Center und Server wurde in den folgenden Versionen festgestellt:

  • 8.2.1
  • 9.0.0
  • 9.1.0
  • 9.2.1
  • 9.3.0
  • 9.4.0
  • 9.5.0

Atlassian betont, dass Bamboo und andere Produkte von Atlassian Data Center nicht von CVE-2024-1597 betroffen sind, da sie die Option PreferQueryMode=SIMPLE nicht in ihren SQL-Datenbankeinstellungen verwenden.

Diesen Beitrag teilen: