Lỗ hổng nghiêm trọng có mã định danh CVE-2024-1597 (điểm CVSS: 10,0), được mô tả là một lỗi SQL injection, bắt nguồn từ một thành phần phụ thuộc (dependency) có tên org.postgresql:postgresql.
Đại diện phía Atlassian cho biết: "Lỗ hổng dependency org.postgresql:postgresql có thể cho phép kẻ tấn công không cần xác thực truy cập để thực hiện hành vi trái phép đến các tài nguyên nội bộ, gây tác động lớn đến tính bảo mật, tính toàn vẹn, tính khả dụng mà không yêu cầu tương tác của người dùng".
Theo mô tả trong cơ sở dữ liệu về lỗ hổng quốc gia của NIST thì "PostgreSQL JDBC driver cho phép tin tặc thực hiện tấn công SQL injection nếu đang sử dụng PreferQueryMode=SIMPLE". Các phiên bản bị ảnh hưởng bao gồm: trước 42.7.2; trước 42.6.1; trước 42.5.5; trước 42.4.4; trước 42.3.9; trước 42.2.28 (đã được khắc phục trong phiên bản 42.2.28.jre7).
Trong một tư vấn bảo mật vào tháng trước khuyến cáo: "Lỗ hổng không xuất hiện trong driver khi sử dụng chế độ truy vấn mặc định. Người dùng không thay đổi chế độ truy vấn mặc định sẽ không bị ảnh hưởng".
Các lỗ hổng được phát hiện tồn tại trong một số phiên bản của các sản phẩm Data Center và Máy chủ Bamboo gồm: 8.2.1; 9.0.0; 9.1.0; 9.2.1; 9.3.0; 9.4.0 và 9.5.0.
Công ty này cũng nhấn mạnh rằng Bamboo và các sản phẩm Data Center khác của Atlassian không bị ảnh hưởng bởi CVE-2024-1597, vì nó không sử dụng PreferQueryMode=SIMPLE trong cài đặt kết nối cơ sở dữ liệu SQL.
Nhà nghiên cứu bảo mật SonarSource - Paul Gerste được ghi nhận là người đã phát hiện và báo cáo lỗ hổng. Người dùng nên kiểm tra và cập nhật phiên bản mới nhất cho các hệ thống/ứng dụng đang sử dụng để bảo vệ khỏi các mối đe dọa tiềm ẩn.
Hà Chi
16:00 | 30/11/2022
16:00 | 13/03/2024
07:00 | 12/04/2024
15:00 | 16/04/2024
09:00 | 29/02/2024
12:00 | 12/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
15:00 | 06/10/2023
Nhà cung cấp mã nguồn mở Red Hat đã công bố một nền tảng biên công nghiệp (industrial edge) mới, được thiết kế với sự hợp tác của Intel, sẽ cung cấp một cách tiếp cận hiện đại để xây dựng và vận hành các biện pháp kiểm soát công nghiệp. Với nền tảng này, các nhà sản xuất sẽ có quyền truy cập vào nền tảng công nghiệp tiên tiến mới, giúp xây dựng các nhà máy được xác định bằng phần mềm thông minh và tối ưu hơn.
09:00 | 03/10/2023
Ngày 22/9 vừa qua, Apple đã phát hành bản cập nhật an ninh khẩn cấp để vá 3 lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và Mac, qua đó nâng tổng số lỗ hổng zero-day được vá trong năm nay lên con số 16. Các nhà nghiên cứu bảo mật tin rằng đó là sản phẩm của các nhà cung cấp phần mềm gián điệp thương mại.
13:00 | 21/09/2023
Theo tờ The Guardian của Anh, Google đang phải đối mặt với vụ kiện mới ở nước này và bị yêu cầu bồi thường thiệt hại khoảng 7 tỷ Bảng Anh (tương đương 8,7 tỷ USD). Đơn kiện thay mặt cho 65 triệu người tiêu dùng Anh đã được đệ trình lên Tòa phúc thẩm cạnh tranh Vương quốc Anh.
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024