Tilkynnt var um nokkra alvarlega veikleika í Confluence og Jira Data Center, Assets Discovery og Jira Service Management Data Center og Server hjá Atlassian, Chrome hjá Google, Firefox, Firefox ESR og Thunderbird hjá Mozilla. Atlassian hefur gefið út uppfærslur vegna ellefu veikleika og er einn þeirra merktur sem alvarlegur [1]. Veikleikarnir í Mozilla eru alls tólf þar af fjórir alvarlegir [3] og Veikleikarnir í Google eru einnig tólf þar af tveir alvarlegir [4]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður.
Alvarlegir veikleikar (e. critical)
Confluence Data Center
Veikleikinn CVE-2024-21678 með CVSSv3 veikleikastig upp á 8.5 gerir auðkenndum ógnaraðila kleift að keyra sérútbúin HTML og Javascript kóða (e. execute arbitrary HTML or JavaScript code) á vafra notandans án aðkomu notandans [2].
Firefox, Firefox ESR og Thunderbird
Veikleikinn CVE-2024-1546 hefur ekki fengið CVSSv3 veikleikastig en er flokkaður sem alvarlegur. Misnotkun á veikleikanum gerir ógnaraðila kleift að framkvæma lestur út fyrir minni (e. out-of-bounds memory read) [4].
Veikleikinn CVE-2024-1547 hefur ekki fengið CVSSv3 veikleikastig en er flokkaður sem alvarlegur. Misnotkun á veikleikanum gerir ógnaraðila kleift að birta viðvörunarglugga á vefsíðu í eigu annarra (e. alert dialog displayed on another website) [5].
Veikleikinn CVE-2024-1553 hefur ekki fengið CVSSv3 veikleikastig en er flokkaður sem alvarlegur. Misnotkun á veikleikanum gerir ógnaraðila kleift að keyra upp kóða (e. run arbitrary code) [6].
Veikleikinn CVE-2024-1557 á bara við um Firefox og hefur ekki fengið CVSSv3 veikleikastig en er flokkaður sem alvarlegur. Misnotkun á veikleikanum gerir ógnaraðila kleift að keyra upp kóða (e. run arbitrary code) [7].
Chrome
Veikleikinn CVE-2024-1669 hefur ekki fengið CVSSv3 veikleikastig en er flokkaður sem alvarlegur. Misnotkun á veikleikanum gerir fjartengdum ógnaraðila kleift að framkvæma lestur út fyrir minni (e. out-of-bounds memory read) í gegnum sérútbúna HTML skrá [9].
Veikleikinn CVE-2024-1670 hefur ekki fengið CVSSv3 veikleikastig en er flokkaður sem alvarlegur. Misnotkun á veikleikanum gerir fjartengdum ógnaraðila kleift að framkvæma veilubragð á hrúgubiðminni (e. exploit heap corruption) í gegnum sérútbúna HTML skrá [10].
Eftirfarandi kerfi eru veik fyrir gallanum:
Confluence Data Center and Server: <8.7.2, <=8.6.2, <8.5.5(LTS), <7.19.19(LTS) og aðrar eldri útgáfur
Jira Software Data Center and Server: <=9.11.3, <9.12.2(LTS) og aðrar eldri útgáfur
Asset Discovery: 6.0.0-6.2.0 og aðrar eldri útgáfur
Jira Service Management Data Center and Server: <5.13.1 og aðrar eldri útgáfur
Firefox ESR: <115.8
Firefox: <123
Thunderbird: <115.8
Chrome: <122.0.6261.57
Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:
Confluence Data Center and Server: 8.8.0, 8.7.2, 7.19.19, 8.5.6 (LTS), 8.5.5 (LTS) og 7.19.19 (LTS)
Jira Software Data Center and Server: 9.14.0, 9.13.1, 9.13.0(Data Center), 9.12.2(LTS)-9.12.4(LTS)), 9.4.15(LTS)-9.4.17(LTS)
Asset Discovery: 6.2.1 og 7.0.0
Jira Service Management Data Center and Server: 5.14.0, 5.13.1(Data Center), 5.12.4 (LTS), 5.12.3 (LTS), 5.4.17 og 5.4.16 (LTS)
Firefox ESR: 115.8
Firefox: 123
Thunderbird: 115.8
Chrome: 122.0.6261.57
Tilvísanir:
[1] https://confluence.atlassian.com/security/security-bulletin-february-20-2024-1354501606.html
[2] https://jira.atlassian.com/browse/CONFSERVER-94513
[3] https://www.mozilla.org/en-US/security/advisories/mfsa2024-05/#CVE-2024-1546
[4] https://nvd.nist.gov/vuln/detail/CVE-2024-1546
[5] https://nvd.nist.gov/vuln/detail/CVE-2024-1547
[6] https://nvd.nist.gov/vuln/detail/CVE-2024-1553
[7] https://nvd.nist.gov/vuln/detail/CVE-2024-1557
[8] https://chromereleases.googleblog.com/2024/02/stable-channel-update-for-desktop_20.html
[9] https://nvd.nist.gov/vuln/detail/CVE-2024-1669
[10] https://nvd.nist.gov/vuln/detail/CVE-2024-1670
