.
A Atlassian disse aos clientes que “devem tomar medidas imediatas” para resolver uma falha recém-descoberta em sua ferramenta de colaboração Confluence.
Um consultivo emitido em 31 de outubro alerta sobre CVE-2023-22518, descrito como uma “vulnerabilidade de autorização inadequada no Confluence Data Center and Server”, as versões locais dos produtos da Atlassian.
Todas as versões do Confluence são suscetíveis ao bug, que a Atlassian classifica com gravidade 9,1/10 no Common Vulnerability Scoring System de dez pontos.
O fornecedor australiano não detalhou a natureza da falha ou como ela pode facilitar a perda de dados. A empresa disse que não viu nenhuma exploração. Talvez explicar a falha alertasse os invasores.
A correção é simples: atualize imediatamente para a versão do Confluence que corrigiu a falha misteriosa. As versões 7.19.16, 8.3.4, 8.4.4, 8.5.3, 8.6.1 do Confluence ou qualquer versão posterior a essas versões farão o trabalho.
Antes de atualizar, a Atlassian sugere desconectar as instâncias do Confluence da Internet pública. Se isso não for possível, o fornecedor recomenda restringir o acesso à rede externa até que os patches sejam aplicados.
Os usuários do SaaS-y Confluence na nuvem da Atlassian não têm nada com que se preocupar.
A falha é o segundo bug urgente do Confluence a surgir em outubro. CVE-2023-22515anunciado em 4 de outubro, permitiu que criminosos criassem e abusassem de contas de administrador do Confluence.
Os invasores aproveitaram a oportunidade para explorar a falha, levando as autoridades dos EUA a peço correção rápida.
A empresa também relatou um falha crítica em seu produto BitBucket em agosto de 2022.
Outro fator a considerar é que o suporte para a versão Server do Confluence terminará em 14 de fevereiro de 2024.
Quando Strong The One considerado Nesse prazo, a Atlassian explicou que se considera uma empresa que prioriza a nuvem e explicou que prioriza a versão SaaS de seus produtos. Leitores respondeu com preocupações sobre o custo da migração para o data center da Atlassian e teme que receba menos atenção do que a nuvem da Atlassian.
Duas falhas críticas em um mês certamente sugerem que o Confluence auto-hospedado é uma opção de alta manutenção e que o A-Cloud é uma proposta mais confortável. A Atlassian concorda com essa posição, mas também manteve seus produtos de data center vivos, reconhecendo que nem todos os clientes se sentem confortáveis na nuvem.
E hoje eles também não se sentem confortáveis fora disso. ®
.
