Pour gérer vos consentements :
Categories: Cybersécurité

Cybersécurité : Atlassian plie sous le poids des vulnérabilités

Atlassian trébuche à nouveau. L’éditeur de logiciels orientés DevOps a publié le 20 juillet un avis de sécurité. Le fournisseur alerte ses utilisateurs et clients sur la présence de vulnérabilités critiques dans de « multiples produits » de son catalogue.

Les services impactés incluent les versions Server* et Data Center de :

– Bamboo (intégration et gestion des livraisons)
– Bitbucket (gestion du code avec Git)
– Confluence (collaboration documentaire)
– Crowd (gestion des utilisateurs)
Jira (suivi de projets/tickets et ITSM)

Deux autres produits sont concernés :

– Crucible (revue de code pour Git)
– Fisheye (recherche et suivi de code)

Une année 2022 marquée par les failles

Une des trois vulnérabilités listées CVE-2022-26136 permet à un attaquant distant et non authentifié de contourner les filtres de servlet utilisés par les applications internes et tierces.

Une deuxième faille – CVE-2022-26137 – peut être exploitée par des « acteurs malveillants » pour contourner le partage de ressources d’origine croisée (CORS).

Une dernière vulnérabilité présente dans l’avis de juillet 2022 – CVE-2022-26138 – concerne uniquement Confluence.

Il est précisé à son propos : « l’app Atlassian Questions For Confluence pour Confluence Server & Data Center crée un compte utilisateur Confluence dans le groupe confluence-users avec le nom d’utilisateur disabledsystemuser et un mot de passe codé en dur. Un attaquant distant et non authentifié connaissant le mot de passe codé en dur pourrait l’exploiter pour se connecter à Confluence et accéder à tout le contenu accessible aux utilisateurs du groupe confluence-users. »

Or, une tierce partie externe a découvert et divulgué publiquement le mot de passe codé en dur sur Twitter, a indiqué le 21 juillet Atlassian. Le fournisseur de solutions exhorte son écosystème à appliquer au plus plus vite des correctifs.

La période est tendue. Cette alerte de sécurité intervenant quelques semaines seulement après l’annonce d’une autre faille critique, activement exploitée, dans Confluence.

*Atlassian ne commercialise plus de nouvelles licences Server et mettra fin au support Server le 15 février 2024. En revanche, l’entreprise basée en Australie maintient les développements Data Center de ses logiciels.

(crédit photo © Shutterstock)

Recent Posts

5 scale-up françaises de cybersécurité à retenir

De Ledger à HarfangLab, des entreprises et start-up françaises de sécurité cyber et protection de…

3 heures ago

Linux : Debian passe au firmware propriétaire

Debian 12 va officiellement inclure du microgiciel propriétaire. Un coup de canif dans le "contrat…

8 heures ago

Stockage : IBM prend la main sur les technologies Red Hat

Le portefeuille stockage de Red Hat va fusionner avec celui d'IBM. En première ligne, Ceph…

9 heures ago

Elon Musk propriétaire de Twitter : on s’en approche

Elon Musk accepte finalement de procéder à l'acquisition de Twitter... moyennant l'abandon des poursuites à…

12 heures ago

Comment mieux embaucher des développeurs ?

La maîtrise de langages de programmation ne fait pas tout. L'entretien technique ne devrait négliger…

1 jour ago

Logiciels libres : 7 nouveaux entrants au SILL

Coup de projecteur sur quelques-uns des ajouts effectués en septembre au Socle interministériel des logiciels…

1 jour ago