Impatto Sistemico

Alto (65.51)

Sintesi

Rilasciati aggiornamenti di sicurezza per risolvere alcune vulnerabilità di cui 2 con gravità “critica” e 8 con gravità “alta” presenti nei prodotti Bamboo, Jira, Bitbucket, Confluence, nelle versioni Data Center e Server e Fisheye/Crucible di Atlassian. Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintenzionato remoto l’accesso ad informazioni sensibili, di compromettere l‘integrità delle informazioni e la disponibilità del servizio, nonché di eseguire codice arbitrario sui sistemi interessati.

Tipologia

• Remote Code Execution
• Denial of Service
• Information Disclosure
• Data Manipulation
• Security Feature Bypass

Prodotti e/o versioni affette

Bamboo Data Center e Server

• 12.1.x, versione 12.1.6 (LTS) e precedenti
• 12.0.x, versione 12.0.2 e precedenti
• 11.0.x, versione 11.0.8 e precedenti
• 10.2.x, versione 10.2.18 (LTS) e precedenti
• 10.1.x, versione 10.1.1 e precedenti
• 10.0.x, versione 10.0.3 e precedenti
• 9.6.x, versione 9.6.25 (LTS) e precedenti

Bitbucket Data Center e Server

• 10.2.x, versione 10.2.1 (LTS) e precedenti
• 10.1.x, versione 10.1.5 e precedenti
• 10.0.x, versione 10.0.2 e precedenti
• 9.6.x, versione 9.6.5 e precedenti
• 9.5.x, versione 9.5.2 e precedenti
• 9.4.x, versione 9.4.18 e precedenti
• 9.3.x, versione 9.3.2 e precedenti
• 9.2.x, versione 9.2.1 e precedenti
• 9.1.x, versione 9.1.1 e precedenti
• 9.0.x, versione 9.0.1 e precedenti
• 8.19.x, versione 8.19.29 (LTS) e precedenti

Confluence Data Center e Server

• 10.2.x, versione 10.2.10 (LTS) e precedenti
• 10.1.x, versione 10.1.2 e precedenti
• 10.0.x, versioni comprese tra 10.0.2 e 10.0.3
• 9.5.x, versioni comprese tra 9.5.1 e 9.5.4
• 9.4.x, versione 9.4.1 e precedenti
• 9.3.x, versioni comprese tra 9.3.1 e 9.3.2
• 9.2.x, versione 9.2.19 e precedenti
• 9.1.x, versione 9.1.1 e precedenti
• 9.0.x, versioni comprese tra 9.0.1 e 9.0.3
• 8.9.x, versioni comprese tra 8.9.2 e 8.9.8

Fisheye/Crucible

• 4.9.x, versione 4.9.9 e precedenti

Jira Data Center e Server

• 11.3.x, versione 11.3.4 (LTS) e precedenti
• 11.2.x, versione 11.2.1 e precedenti
• 11.1.x, versione 11.1.1 e precedenti
• 11.0.x, versione 11.0.1 e precedenti
• 10.7.x, versioni comprese tra 10.7.1 e 10.7.4
• 10.6.x, versione 10.6.1 e precedenti
• 10.5.x, versione 10.5.1 e precedenti
• 10.4.x, versione 10.4.1 e precedenti
• 10.3.x, versione 10.3.19 (LTS) e precedenti
• 10.2.x, versione 10.2.1 e precedenti
• 10.1.x, versioni comprese tra 10.1.1 e 10.1.2
• 10.0.x, versione 10.0.1 e precedenti
• 9.17.x, versione 9.17.5 e precedenti
• 9.16.x, versione 9.16.1 e precedenti
• 9.12.x, versioni comprese tra 9.12.32 e 9.12.34 (LTS)

Jira Service Management Data Center e Server

• 11.3.x, versione 11.3.4 (LTS) e precedenti
• 11.2.x, versione 11.2.1 e precedenti
• 11.1.x, versione 11.1.1 e precedenti
• 11.0.x, versione 11.0.1 e precedenti
• 10.7.x, versioni comprese tra 10.7.1 e 10.7.4
• 10.6.x, versione 10.6.1 e precedenti
• 10.5.x, versione 10.5.1 e precedenti
• 10.4.x, versione 10.4.1 e precedenti
• 10.3.x, versione 10.3.19 (LTS) e precedenti
• 10.2.x, versione 10.2.1 e precedenti
• 10.1.x, versioni comprese tra 10.1.1 e 10.1.2
• 10.0.x, versione 10.0.1 e precedenti
• 5.17.x, versione 5.17.5 e precedenti
• 5.16.x, versione 5.16.1 e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”.