NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.01 #############################

Titel           : Kwetsbaarheden verholpen in Atlassian producten
Advisory ID     : NCSC-2024-0018
Versie          : 1.01
Kans            : medium
CVE ID          : CVE-2017-7957, CVE-2018-10054, CVE-2020-25649,
                  CVE-2020-26217, CVE-2021-40690, CVE-2022-4244,
                  CVE-2022-40152, CVE-2022-42252, CVE-2022-44729,
                  CVE-2023-3635, CVE-2023-5072, CVE-2023-6378,
                  CVE-2023-6481, CVE-2023-22526, CVE-2023-22527,
                  CVE-2023-34453, CVE-2023-34454, CVE-2023-34455,
                  CVE-2023-36478, CVE-2023-39410, CVE-2023-43642,
                  CVE-2023-46589, CVE-2024-21672, CVE-2024-21673,
                  CVE-2024-21674
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Request Forgery (XSRF)
                  Denial-of-Service (DoS)
                  Omzeilen van beveiligingsmaatregel
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20240116
Toepassing      : Atlassian Bamboo
                  Atlassian Bitbucket (vroeger Stash)
                  Atlassian Confluence
                  Atlassian Crowd
                  Atlassian JIRA
Versie(s)       :
Platform(s)     :

Update
   Atlassian heeft, naast de kwetsbaarheden vermeld in het security
   bulletin van januari ook een kwetsbaarheid verholpen in oudere
   versies van Confluence.

   Een kwaadwillende kan de kwetsbaarheid misbruiken om middels een
   template-injectie willekeurige code uit te voeren binnen de
   applicatie. Deze kwetsbaarheid heeft kenmerk CVE-2023-22527
   toegekend gekregen en is apart beschreven in een security bulletin.
   Gebruikers van de recente versies van Confluence (8.6.2 en 8.7.1)
   zijn niet kwetsbaar voor deze specifieke kwetsbaarheid, maar wel
   voor de overige kwetsbaarheden in dit beveiligingsadvies.

   Het security bulletin is toegevoegd aan dit beveiligingsadvies. De
   inschaling wijzigt niet en blijft MEDIUM/HIGH

Beschrijving
   Atlassian heeft kwetsbaarheden verholpen in diverse producten,
   waaronder Confluence en Jira. Een kwaadwillende kan de
   kwetsbaarheden misbruiken om aanvallen uit te voeren die kunnen
   leiden tot de volgende categorieën schade:

   * Cross-Site Request Forgery (XSRF)
   * Denial-of-Service (DoS)
   * Omzeilen van beveiligingsmaatregel
   * (Remote) code execution (Gebruikersrechten)
   * Toegang tot gevoelige gegevens

Mogelijke oplossingen
   Atlassian heeft updates uitgebracht om de kwetsbaarheden te
   verhelpen in de kwetsbare producten. Voor meer informatie, zie:

   https://confluence.atlassian.com/security
      /security-bulletin-january-16-2024-1333335615.html
   https://confluence.atlassian.com/security
      /cve-2023-22527-rce-remote-code-execution-vulnerability-in-conflu
      ence-data-center-and-confluence-server-1333990257.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=xwoP
-----END PGP SIGNATURE-----