Kritická bezpečnostní chyba v Bamboo

30.03.2017 | Co musíte udělat

Oznamujeme kriticky závažnou chybu zabezpečení, která byla zavedena do Bamboo ve verzi 5.1.0. Všechny verze Bamboo začínající od verze 5.1.0 ve všech dalších verzích před 5.14.5 (verze 5.14.5 je opravená verze pro řadu 5.14.x) a od verze 5.15.0 ve všech dalších verzích před 5.15.3 (verze 5.15.3 je opravená verze pro řadu 5.15.x) jsou touto chybou zabezpečení ohroženy.

Vzdálené spuštění kódu prostřednictvím Struts 2 (CVE-2017-5638)

Závážnost

Hodnotíme stupeň závažnosti této chyby zabezpečení jako kritický, podle Atlassian severity levels. Stupnice umožňuje hodnotit závažnost jako kritickou, vysokou, střední nebo nízkou.

Jedná se o nezávislé posouzení. Měli byste zhodnotit jeho použitelnost vzhledem ke svému IT prostředí.

Popis

Bamboo používá verzi Apache Struts 2, která byla citlivá na CVE-2017-5638. Útočníci mohou využít tuto chybu ke spuštění kódu Java podle vlastního výběru v systémech, které mají ohroženou verzi Bamboo bez předchozího ověření.

Všechny verze Bamboo počínaje od 5.1.0, avšak méně než 5.14.5 (pevná verze pro 5.14.x), a od 5.15.0, avšak méně než 5.15.3 (pevná verze pro 5.15.x), jsou touto chybou zabezpečení ovlivněny. Můžete sledovat tento problém zde: 
BAM-18242 - Apache Struts 2 Remote Code Execution (CVE-2017-5638)

Instance Atlassian Cloud již byly aktualizovány na verzi Bamboo, která nemá problém popsaný na této stránce.

Zákazníci, kteří provedli upgrade Bamboo na verzi 5.14.5 nebo na verzi 5.15.3, nejsou ovlivněni. 

Zákazníci, kteří jste si stáhli a nainstalovali verzi Bamboo >= 5.1.0 a menší jako 5.14.5 (verze 5.14.5 je opravená verze pro řadu 5.14.x), aktualizujte si prosím svoje instalace Bamboo, abyste si okamžitě opravili tuto chybu zabezpečení.

Zákazníci, kteří si stáhli a nainstalovali verzi Bamboo >= 5.15.0 a menší jako 5.15.3 (verze 5.15.3 je opravená verze pro řadu 5.15.x), aktualizujte si prosím svoje instalace Bamboo, abyste si okamžitě opravili tuto chybu zabezpečení.

Oprava

Opravené verze, které řeší popsanou chybu jsou tyto:

1. Bamboo verze 5.14.5

2. Bamboo verze 5.15.3

Co musíte udělat

Aktualizujte Bamboo na verzi 5.15.3 nebo vyšší.

Pokud máte spuštěnou Bamboo 5.14.x a nelze aktualizovat na Bamboo 5.15.3tak aktualizujte na verzi 5.14.5.

Úplný popis poslední verze Bamboo najdete v poznámkách k vydání Bamboo. Můžete si ji stáhnout od download centra.

Pro více informací čtěte zde.

Tým Atlassian v Onlio

Pro lokální podporu neváhejte kontaktovat odborníky na produkty Atlassian ve společnosti Onlio.

Pro další informace o novinkách Atlassian a JIRA sledujte web www.myJIRA.cz.

Diskutujeme také na LinkedIn ve skupině Atlassian komunita CZ & SK.

V případě dotazů se obraťte na atlassian_zavináč_onlio.com nebo na tel. +420222744766

Zpět