Hlavní strana -> Zprávy
Aktuality -> Podnikové aplikace a služby - 18. 1. 2024 - Ing. LukᚠGrásgruber

Atlassian varuje před kritickou chybou ve své aplikaci a vyzývá uživatele k aktualizaci

Zdroj: DALL-EAustralská softwarová společnost Atlassian varuje před kritickou chybou, která může být zneužita hackery. Varování se týká aplikace Confluence, konkrétně ve variantě Atlassian Confluence Data Center a Confluence Server. V ohrožení mohou být i stovky českých firem, které používají zastaralé verze. Atlassian už chybu opravil a důrazně doporučuje provést aktualizaci všech systémů Confluence.



Chyba, která nese označení CVE-2023-22527, je hodnocena kritickým skóre CVSS 10, tedy nejvyšší mírou rizika. Jedná se o zranitelnost typu „template injection“, která útočníkům umožňuje vložit škodlivý kód do šablon aplikace a získat přístup k datům. Nově objevená zranitelnost ovlivňuje většinu neaktualizovaných verzí aplikace Confluence.

Atlassian Confluence Data Center a Confluence Server jsou dvě varianty aplikace Confluence od společnosti Atlassian, které slouží jako výkonné nástroje pro týmovou spolupráci a správu dokumentů. Produkty australské společnosti používá více než 170 tisíc společností z celého světa, mezi nimi značky jako Audi, Mercedes-Benz nebo Air France-KLM. Velké popularitě se těší také Česku, používají ho stovky tuzemských firem.

„Zatím neexistuje žádný alternativní způsob, jak tento problém obejít. Důrazně proto doporučujeme provést aktualizaci všech systémů Confluence na opravené nebo novější verze. Pro Confluence Data Center je to verze 8.6.0, ideálně 8.7.1. U Confluence Serveru je to verze 8.5.4 (LTS), Atlassian ale ohlásil ukončení podpory tohoto řešení k 15. únoru 2024.,“ říká Martin Cvrček, Atlassian konzultant ve společnosti Onlio.

„Upozorňujeme, že riziko nevzniká pouze v produkčním prostředí, které bývá často lépe monitorováno, ale i v testovacích a vývojových prostředích. V těchto prostředích se často kopírují produkční databáze a data nejsou anonymizována, proto jsou z hlediska úniku informací kritická. Mnoho administrátorů často neví o velkém počtu těchto ‚neaktivních‘ systémů, které mohou představovat bezpečnostní riziko,“ dodal Cvrček.

Společnost Atlassian 16. ledna vydala také pravidelný bezpečnostní bulletin týkající se 28 vysoce hodnocených zranitelností, které se jí v nejnovějších verzích podařilo úspěšně odstranit. Zranitelnosti zahrnuté v měsíčních bulletinech však představují nižší dopad než ty, které jsou zveřejněné prostřednictvím kritických bezpečnostních upozornění.


 
  

- PR -

Začíná éra výkonných multigigabitových PoE přepínačů

Společnost Zyxel Networks oznámila uvedení nové produktové řady přepínačů XMG2230. Tuto řadu tvoří nejmodernější multigigabitové Layer 3 přístupové PoE přepínače XMG2230-28HP a XMG2230-52HP vyvinuté s důrazem na zjednodušení a optimalizaci sítí malých a středně velkých podniků. Nové přepínače poskytují špičkový výkon, vysokou kapacitu napájení přes ethernet a robustní design.

  

- PR -

MPSV zvyšuje kybernetickou odolnost

s VR řešením Company (Un)Hacked


Ministerstvo práce a sociálních věcí (MPSV) je ústředním orgánem státní správy. Kybernetická bezpečnost je pro MPSV zásadní, nebo všechny agendové systémy jsou součástí kritické infrastruktury a musí naplňovat požadavky kybernetického zákona. Odbor kybernetické bezpečnosti vedený Janem Mikuleckým spravuje rozsáhlou ICT infrastrukturu včetně kritických systémů resortu, stejně jako citlivá data milionů občanů – sociální dávky, zaměstnanost – a musí odolávat stále rostoucím hrozbám v digitálním prostoru.