-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [18-04-2024]: Vulnerabilidades nos produtos Atlassian (Confluence, Jira e Bamboo) Prezados(as), O CAIS alerta a comunidade de segurança cibernética acerca de um conjunto de vulnerabilidades críticas divulgadas pela Atlassian em seu boletim mensal, reportando falhas recentemente identificadas nas soluções Confluence, Jira e Bamboo, dentre elas destacamos os CVEs CVE-2024-22259 (SSFR) e CVE-2024-21634 (DOS), com pontuações CVSS de 8.1 e 7.5, respectivamente. 1) Produtos afetados; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades; 4) Mitigação e correções disponíveis; e 5) Mais Informações. 1) Produtos afetados: Bamboo Data Center e Server; Confluence Data Center e Server; e Jira Software Data Center e Server. 2) Identificadores CVE (http://cve.mitre.org): CVE-2024-22259; e CVE-2024-21634. 3) Descrição da(s) vulnerabilidade(s): CVE-2024-22259: Vulnerabilidade do tipo SSRF (Server-Side Request Forgery). Esta vulnerabilidade presente na dependência org.springframework:spring-web permite que um agente malicioso não autenticado, exponha ativos em seu ambiente, impactando na confidencialidade e integridade. Não há impacto na disponibilidade e requer interação do usuário. CVE-2024-21634: Falha na dependência software.amazon.ion:ion-java. A exploração dessa vulnerabilidade por um agente malicioso pode resultar em um ataque de negação de serviço (DoS). 4) Mitigação e correções disponíveis: Recomenda-se fortemente executar as atualizações disponibilizadas pelo fornecedor dos produtos em: https://confluence.atlassian.com/security/december-2023-security-advisories-overview-1318892103.html 5) Mais Informações: https://nvd.nist.gov/vuln/detail/CVE-2024-21634; e https://jira.atlassian.com/browse/BAM-25751 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/en/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmYhZVgACgkQ1Per/VOa V4Bkvw//d4beyMmqyPoUT9bsb8hvB6d5GxPCzYd1RDZWm0hBtA/QGG8c8FAnoYmA TIgOKu9Q6cENQpDCbkACv9vY+WIvfiOE477FKrp42lfouYbGXv/cTIas9BZJ+azW EwnQzzDKcAOwkx4SrlrN1kh4Xi0913uSyiq+KSGpEmEUzGLP8EuOeSVWdI54U762 h40p0th9MFUXCaf5gh/jROXNatjaoao7IxpiTQYyI09CujF3ccTTZNLJJAaCqVE9 BfHInC6CVJUHg5g8SGXS+YB3RDlgd0lqP917CXazZeCYTUX2iKc8sW/tIpULWT0z NOeaEfCEkHSH2ZY+nGOZJObob8PvykKYlWQ0UKHZD7xaXA3P4HNAzVce1w2U0WUy mf8BpTQOC5bVOYT9Ejkb8lW3JKO3C9ngndw/4TdP6sS+10zpRPp40MySsZ3uIbjR z19d/GLsYf+MDwZlxzuFulcXs83X4sMCit+wT0o8XUSL3JQscl5IXBKE9HvHTQef 4+LfVhY9yLZUtY0x1Z1fGbflJ9FXJzAxNlDR3d4Yb+Uy/tRptcKQ//oIaBYUbw5y gvUT+kwgRMdi8WRP05BtD0par40qqkaVEue9jE+BVc+dAMhbe9Sf4cpdW8gr0PS6 ubMh5QZZqmS7YyMwetv1HrIRNt6lvNsYpwq/dz5ReZ7ep9tSeqQ= =EJT8 -----END PGP SIGNATURE-----