Atlassian trébuche à nouveau. L’éditeur de logiciels orientés DevOps a publié le 20 juillet un avis de sécurité. Le fournisseur alerte ses utilisateurs et clients sur la présence de vulnérabilités critiques dans de « multiples produits » de son catalogue.
Les services impactés incluent les versions Server* et Data Center de :
– Bamboo (intégration et gestion des livraisons)
– Bitbucket (gestion du code avec Git)
– Confluence (collaboration documentaire)
– Crowd (gestion des utilisateurs)
– Jira (suivi de projets/tickets et ITSM)
Deux autres produits sont concernés :
– Crucible (revue de code pour Git)
– Fisheye (recherche et suivi de code)
Une des trois vulnérabilités listées CVE-2022-26136 permet à un attaquant distant et non authentifié de contourner les filtres de servlet utilisés par les applications internes et tierces.
Une deuxième faille – CVE-2022-26137 – peut être exploitée par des « acteurs malveillants » pour contourner le partage de ressources d’origine croisée (CORS).
Une dernière vulnérabilité présente dans l’avis de juillet 2022 – CVE-2022-26138 – concerne uniquement Confluence.
Il est précisé à son propos : « l’app Atlassian Questions For Confluence pour Confluence Server & Data Center crée un compte utilisateur Confluence dans le groupe confluence-users avec le nom d’utilisateur disabledsystemuser et un mot de passe codé en dur. Un attaquant distant et non authentifié connaissant le mot de passe codé en dur pourrait l’exploiter pour se connecter à Confluence et accéder à tout le contenu accessible aux utilisateurs du groupe confluence-users. »
Or, une tierce partie externe a découvert et divulgué publiquement le mot de passe codé en dur sur Twitter, a indiqué le 21 juillet Atlassian. Le fournisseur de solutions exhorte son écosystème à appliquer au plus plus vite des correctifs.
La période est tendue. Cette alerte de sécurité intervenant quelques semaines seulement après l’annonce d’une autre faille critique, activement exploitée, dans Confluence.
*Atlassian ne commercialise plus de nouvelles licences Server et mettra fin au support Server le 15 février 2024. En revanche, l’entreprise basée en Australie maintient les développements Data Center de ses logiciels.
(crédit photo © Shutterstock)
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.