พบช่องโหว่ระดับ High-Severity ในผลิตภัณฑ์ Atlassian และ ISC BIND Server

426/66 (IT) ประจำวันจันทร์ที่ 25 กันยายน 2566

Atlassian และ Internet Systems Consortium (ISC) ได้เปิดเผยช่องโหว่จำนวน 4 รายการที่ส่งผลกระทบต่อผลิตภัณฑ์ ที่สามารถถูกใช้ในการ denial-of-service (DoS) และ remote code execution โดยช่องโหว่ที่มีความรุนแรงสูงจำนวน 4 รายการดังนี้

– CVE-2022-25647 (คะแนน CVSS: 7.5) ช่องโหว่ deserialization ในแพ็คเกจ Google Gson ส่งผลกระทบต่อ Jira Service Management Data Center และ Server

– CVE-2023-22512 (คะแนน CVSS: 7.5) – ช่องโหว่ DoS ใน Confluence Data Center และ Server

– CVE-2023-22513 (คะแนน CVSS: 8.5) – ช่องโหว่ RCE ใน Bitbucket Data Center และ Server

– CVE-2023-28709 (คะแนน CVSS: 7.5) – ช่องโหว่ DoS ในเซิร์ฟเวอร์ Apache Tomcat ที่ส่งผลกระทบต่อ Bamboo Data Center และ Server

ช่องโหว่ได้รับการแก้ไขแล้วในเวอร์ชันต่อไปนี้

– Jira Service Management Server และ Data Center (เวอร์ชัน 4.20.25, 5.4.9, 5.9.2, 5.10.1, 5.11.0 หรือเวอร์ชันใหม่กว่า)

– Confluence Server และ Data Center (เวอร์ชัน 7.19.13, 7.19.14, 8.5.1, 8.6.0 หรือเวอร์ชันใหม่กว่า)

– เซิร์ฟเวอร์ Bitbucket และศูนย์ข้อมูล (เวอร์ชัน 8.9.5, 8.10.5, 8.11.4, 8.12.2, 8.13.1, 8.14.0 หรือเวอร์ชันใหม่กว่า)

– Bamboo Server และ Data Center (เวอร์ชัน 9.2.4, 9.3.1 หรือเวอร์ชันใหม่กว่า)

โดย ISC ได้เปิดตัวการแก้ไขช่องโหว่ที่มีความรุนแรงสูงที่ส่งผลต่อชุดซอฟต์แวร์ Berkeley Internet Name Domain ( BIND ) 9 Domain Name System (DNS) จำนวน 2 รายการใน BIND ที่สามารถถูกใช้ในการ denial-of-service (DoS)

– CVE-2023-3341 (คะแนน CVSS: 7.5) – แก้ไขแล้วในเวอร์ชัน 9.16.44, 9.18.19, 9.19.17, 9.16.44-S1 และ 9.18 .19-S1

– CVE-2023-4236 (คะแนน CVSS: 7.5) – แก้ไขแล้วในเวอร์ชัน 9.18.19 และ 9.18.19-S1

แหล่งข่าว https://thehackernews.com/2023/09/high-severity-flaws-uncovered-in.html