โดยในเอกสารประกาศความปลอดภัยรายเดือนของ Atlassian ได้ระบุถึงช่องโหว่ที่มีความรุนแรงสูงในผลิตภัณฑ์ทั้ง 4 ตัว ซึ่งอาจส่งผลกระทบต่อการใช้งานและความปลอดภัยของระบบ
Atlassian ได้ประกาศแพตช์เพื่อแก้ไขช่องโหว่หลายรายการที่มีความรุนแรงสูงในผลิตภัณฑ์ **Bamboo**, **Bitbucket**, **Confluence**, และ **Crowd** เมื่อวันพุธที่ผ่านมา โดยในเอกสารประกาศความปลอดภัยเดือนกันยายน 2024 ระบุว่าช่องโหว่ทั้งหมด 4 รายการนี้สามารถถูกใช้โจมตีเพื่อก่อให้เกิด **การปฏิเสธการให้บริการ (Denial-of-Service – DoS)** ได้
รายละเอียดช่องโหว่ที่ได้รับการแก้ไขในผลิตภัณฑ์ต่างๆ ได้แก่:
1. **Bamboo Data Center และ Server**: ได้รับการอัปเดตเพื่อแก้ไข **CVE-2024-34750** ซึ่งเป็นช่องโหว่ใน **Coyote** ส่วนเชื่อมต่อของ **Apache Tomcat** โดยเมื่อประมวลผลการเชื่อมต่อ **HTTP/2** Tomcat ไม่สามารถจัดการกับส่วนหัว HTTP ที่มากเกินไปได้อย่างถูกต้อง ซึ่งอาจทำให้เกิดปัญหาในการนับจำนวนสตรีม HTTP/2 ที่ใช้งานอยู่ และปล่อยให้การเชื่อมต่อยังคงเปิดอยู่
2. **Bitbucket Data Center และ Server**: นอกจากช่องโหว่ของ Tomcat Coyote แล้ว ยังมีการแก้ไข **CVE-2024-32007** ซึ่งเป็นปัญหาการตรวจสอบความถูกต้องของข้อมูลใน **Apache CXF JOSE** โดยผู้โจมตีสามารถใช้ค่าขนาดใหญ่ในพารามิเตอร์ p2c ในโทเค็นเพื่อก่อให้เกิด DoS ได้
3. **Confluence Data Center และ Server**: แก้ไขช่องโหว่ที่เกี่ยวข้องกับ **Bouncy Castle Java** (CVE-2024-29857) และช่องโหว่ใน **Clojure** (CVE-2024-22871)
4. **Crowd Data Center และ Server**: ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่ของ Bouncy Castle Java เช่นกัน
ช่องโหว่ทั้งหมดนี้ถูกรายงานผ่านโปรแกรมแจ้งเตือนข้อผิดพลาดของ Atlassian และไม่มีผลกระทบต่อความลับหรือความสมบูรณ์ของข้อมูล นอกจากนี้ ยังไม่มีรายงานว่าช่องโหว่เหล่านี้ถูกใช้งานในทางที่ไม่ถูกต้องในปัจจุบัน แต่ Atlassian ขอแนะนำให้ผู้ใช้อัปเดตเวอร์ชันของผลิตภัณฑ์เป็นเวอร์ชันล่าสุดทันทีที่เป็นไปได้เพื่อป้องกันความเสี่ยง
Credit: security.com
