Lỗ hổng nghiêm trọng có mã định danh CVE-2024-1597 (điểm CVSS: 10,0), được mô tả là một lỗi SQL injection, bắt nguồn từ một thành phần phụ thuộc (dependency) có tên org.postgresql:postgresql.
Đại diện phía Atlassian cho biết: "Lỗ hổng dependency org.postgresql:postgresql có thể cho phép kẻ tấn công không cần xác thực truy cập để thực hiện hành vi trái phép đến các tài nguyên nội bộ, gây tác động lớn đến tính bảo mật, tính toàn vẹn, tính khả dụng mà không yêu cầu tương tác của người dùng".
Theo mô tả trong cơ sở dữ liệu về lỗ hổng quốc gia của NIST thì "PostgreSQL JDBC driver cho phép tin tặc thực hiện tấn công SQL injection nếu đang sử dụng PreferQueryMode=SIMPLE". Các phiên bản bị ảnh hưởng bao gồm: trước 42.7.2; trước 42.6.1; trước 42.5.5; trước 42.4.4; trước 42.3.9; trước 42.2.28 (đã được khắc phục trong phiên bản 42.2.28.jre7).
Trong một tư vấn bảo mật vào tháng trước khuyến cáo: "Lỗ hổng không xuất hiện trong driver khi sử dụng chế độ truy vấn mặc định. Người dùng không thay đổi chế độ truy vấn mặc định sẽ không bị ảnh hưởng".
Các lỗ hổng được phát hiện tồn tại trong một số phiên bản của các sản phẩm Data Center và Máy chủ Bamboo gồm: 8.2.1; 9.0.0; 9.1.0; 9.2.1; 9.3.0; 9.4.0 và 9.5.0.
Công ty này cũng nhấn mạnh rằng Bamboo và các sản phẩm Data Center khác của Atlassian không bị ảnh hưởng bởi CVE-2024-1597, vì nó không sử dụng PreferQueryMode=SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL.
Nhà nghiên cứu bảo mật SonarSource - Paul Gerste được ghi nhận là người đã phát hiện và báo cáo lỗ hổng. Người dùng nên kiểm tra và cập nhật phiên bản mới nhất cho các hệ thống/ứng dụng đang sử dụng để bảo vệ khỏi các mối đe dọa tiềm ẩn.
Hà Chi
16:00 | 30/11/2022
16:00 | 13/03/2024
07:00 | 12/04/2024
15:00 | 16/04/2024
09:00 | 29/02/2024
08:00 | 22/12/2023
Với mong muốn định hướng cho các tổ chức/doanh nghiệp bảo vệ dữ liệu một cách toàn diện cũng như vận hành bảo mật hiệu quả, tối ưu nhất trong kỷ nguyên số, Mi2 ra mắt Bộ Giải pháp Bảo vệ dữ liệu toàn diện “Complete Data Protection Solution” nhằm đảm bảo khả năng bảo vệ toàn diện cũng như vận hành bảo mật hiệu quả, tối ưu cho tổ chức/doanh nghiệp.
08:00 | 04/12/2023
Người đứng đầu Kyber Elastic cũng cho biết Hiệp hội Blockchain Việt Nam là đối tác trong nước duy nhất trong quá trình giải quyết các vấn đề sau vụ tấn công trị giá hơn 1.100 tỷ đồng này.
16:00 | 16/11/2023
Ngày 16/11/2023, tại Hà Nội, Fortinet đã tổ chức cuộc thi đấu an ninh mạng mang tên “Fortinet Security Fabric Range Challenge” nhằm nâng cao năng lực phòng thủ cho các nhà quản lý công nghệ thông tin và an ninh bảo mật mạng, giúp các chuyên gia bảo mật an ninh mạng của Việt Nam có cơ hội giao lưu, trải nghiệm nhiều tình huống tấn công mạng mô phỏng thú vị và hấp dẫn.
08:00 | 24/10/2023
Chatbot trí tuệ nhân tạo (AI) của Microsoft (Bing Chat) đang bị lạm dụng để phát tán mã độc thông qua các quảng cáo độc hại khi tìm kiếm các công cụ phổ biến.
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024