-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [11-12-2023]: Vulnerabilidades nos produtos Atlassian (Confluence, Jira, Bitbucket) Prezados(as), O CAIS alerta à comunidade de segurança cibernética acerca de um conjunto de vulnerabilidades críticas da Atlassian, destacando principalmente Confluence, Jira e Bitbucket. 1) Produtos afetados; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades; 4) Mitigação e correções disponíveis; e 5) Mais Informações. 1) Produtos afetados: Confluence Data Center e Server; App Atlassian Companion para MacOS; Confluence Cloud Migration App (CCMA); Assets Discovery para Jira Service Management Cloud, Server e Data Center; Automation para Jira (A4J) app (incluindo Server Lite edition); Bitbucket Data Center e Server; Jira Core Data Center and Server; Jira Service Management Data Center and Server; e Jira Software Data Center and Server. 2) Identificadores CVE (http://cve.mitre.org): CVE-2023-22522; CVE-2023-22523; CVE-2023-22524; e CVE-2022-1471. 3) Descrição da(s) vulnerabilidade(s): CVE-2023-22522: Vulnerabilidade do tipo "Template Injection", que se explorada, pode permitir que um agente malicioso autenticado, incluindo um com acesso anônimo, insira entradas inseguras em uma página do Confluence; CVE-2023-22523: Falha na descoberta de ativos (Assets Discovery). Esta falha existe entre a aplicação Assets Discovery (anteriormente conhecida como Insight Discovery) e o agente Assets Discovery. Esta vulnerabilidade, se explorada, pode permitir execução remota de código por um agente malicioso; CVE-2023-22524: Falha na bilbioteca SnakeYAML para Java. Esta vulnerabilidade se explorada, pode permitir execução de código remoto de forma arbitrária por um agente malicioso; e CVE-2022-1471: Dentre as vulnerabilidades, o boletim divulgado pela Atlassian, reforça a criticidade de uma vulnerabilidade no aplicativo Atlassian Companion para MacOS, divulgada em 2022, e que possui potencial de exploração. Um agente malicioso pode utilizar WebSockets para ignorar a lista de bloqueio do Atlassian Companion e o MacOS Gatekeeper, permitindo dessa forma a execução de código remoto de forma arbitrária. 4) Mitigação e correções disponíveis: Recomenda-se fortemente executar as atualizações disponibilizadas pelo fornecedor dos produtos em: https://confluence.atlassian.com/security/december-2023-security-advisories-overview-1318892103.html 5) Mais Informações: https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html; https://confluence.atlassian.com/security/cve-2023-22523-rce-vulnerability-in-assets-discovery-1319248914.html; https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-impacts-multiple-products-1296171009.html; e https://confluence.atlassian.com/security/cve-2023-22524-rce-vulnerability-in-atlassian-companion-app-for-macos-1319249492.html O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/en/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmV3IRQACgkQ1Per/VOa V4C/txAAhJMVxV9iyTg+oJAO4ZHf6QoKXsVzAQOYLYd9a2Vh+NVZqDmQcYitUsam xI6AxazL/lxRclizLZg0A8I9hztwKXNchJ9tfTfwGRZPARgpVm1MpeYPOYNJYFQ8 kTnDaZVxeVJWfU1GqoW1bw9LLzEmRgY1cQoLAr8qHU7HZeGe5Yc8csCQ/B+/OS2O 7RRJuQniqAtU9kb6e+nX+IH2kM0T0pM4Xp6Itiv7bjcsatSYDMoP/VeGKEJmskwy qD6tBCIU50gNRBO7wpx6EbkL+v1yx5R3GbPxN4OF7M2+9q/KIhgW06XD9fOAmhOB 8he/Dn8X+5qQmJwZgGpGeiu8RwSCmD7XG4GZnsLPRE8B+rf2M+P6X79r7DGBDuFh R5TUn0oGnFaaf7TV2s81kVc57uPKMxs5l9z7MZosXCKBbN1UilORPE87U0TdJq38 sv5JlBTYhIwbO+f6JNuCriDdWt7qvyqKsbvFj9ZyfuQPBgG5QrQ1F/Azn/Us9XRB NPccWUbvHVWiOqXimvSRmZcPZrov9UNw5+rD/46Jt/xs1QQYU4f0lZe4vVBl9I2l kUu4+csG5KNaHUa6rNKVUFwowelyoRRYw+9oxhj47aTwLjTwJuniDbpWk8jHYCaW wOwW+6e01RMZ7NtvmwqRW18at8Ar61j9F2PVXWgXNObSYT79G0A= =psz+ -----END PGP SIGNATURE-----