Перейти к содержанию

Веский повод обновить Confluence | Блог Касперского


Рекомендуемые сообщения

Недавно CISA, FBI и MS-ISAC выпустили совместное предупреждение о том, что всем организациям, использующим Confluence Data Center и Confluence Server, следует срочно обновить это программное обеспечение из-за серьезной уязвимости. Рассказываем, в чем проблема и почему к этой рекомендации стоит прислушаться.

Уязвимость CVE-2023-22515 в Confluence Data Center и Confluence Server

Данная уязвимость получила обозначение CVE-2023-22515. Ей присвоен максимальный рейтинг опасности по шкале CVSS 3.0 — 10 из 10, а также статус критической. Уязвимость состоит в возможности перезапуска процесса настройки сервера, причем для этого даже не требуется аутентификация. Благодаря эксплуатации CVE-2023-22515 атакующий может получить возможность создания аккаунтов с правами администратора на уязвимом Confluence-сервере.

Уровень опасности уязвимости CVE-2023-22515

CVE-2023-22515: высокий уровень опасности и низкая сложность эксплуатации. Источник

Под угрозой находятся только организации, использующие продукты Atlassian Confluence, предназначенные для установки на собственные серверы (то есть on-premises), — Confluence Data Center и Confluence Server. Тех клиентов, которые пользуются облачным сервисом Confluence, данная угроза не касается.

Уязвимость не затрагивает Confluence Data Center и Confluence Server версий ниже 8.0.0. Вот полный список уязвимых версий по информации, опубликованной Atlassian:

  • 0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4;
  • 1.0, 8.1.1, 8.1.3, 8.1.4;
  • 2.0, 8.2.1, 8.2.2, 8.2.3;
  • 3.0, 8.3.1, 8.3.2;
  • 4.0, 8.4.1, 8.4.2;
  • 5.0, 8.5.1.

 

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты
Quote

Веский повод обновить Confluence

Лаборатория Касперского, вы смеётесь? https://www.atlassian.com/blog/announcements/atlassian-stands-with-ukraine

Изменено пользователем Umnik
дал ссылку на официальный сат
Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Umnik сказал:

Лаборатория Касперского, вы смеётесь? https://www.atlassian.com/blog/announcements/atlassian-stands-with-ukraine

Компания международная, а статью могут прочитать и другие жители СНГ ;)

Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, Umnik сказал:

У Казахстана и Польши свои домены. На Украине ЛК заблокирована.

Так есть и другие страны: Грузия, Армения, Азербайджан, Таджикистан, Молдавия, Латвия, Литва и т.д, где знают русский и русские есть во всем мире :)  

Ссылка на сообщение
Поделиться на другие сайты

Вроде и да, но в подвале написано, для каких стран этот домен:

image.png.ba1b5ccecb9659ecb501b1aea913b9d5.png

Если бы был выбор просто языка, то да. Но тут выбор стран, на которые ориентирован блог :)

Ссылка на сообщение
Поделиться на другие сайты
24.10.2023 в 11:38, Umnik сказал:

Если бы был выбор просто языка, то да

Думаю, здесь был учтен старый печальный опыт с доступом к оф. сайту с других регионов.:coffee:

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Среди регулярно звучащих обвинений в адрес корпорации Google одно особенно тревожит пользователей — компания может следить за местоположением всех владельцев Android-смартфонов (и отчасти Apple-смартфонов). Предыдущий опыт подсказывает, что Google действительно это делает, не только применяя эти данные для показа рекламы, но и сохраняя их в виде истории перемещений и даже выдавая их правоохранительным органам. Теперь Google обещает, что история местоположений будет храниться только на устройстве. Верим?
      Что не так с историей местоположений?
      Функция location history (история местоположений) позволяет легко увидеть, где и когда бывал пользователь. Использовать ее можно разными способами: вспомнить название пляжа или ресторана, где был в отпуске два года назад, найти адрес, который часто посещает супруг после работы, рекомендовать новые бары на основании ранее посещенных, видеть, в каком цветочном магазине заказан букет-сюрприз на праздник, и так далее. Как полезные, так и вредные для владельца смартфона — точнее, аккаунта Google — способы применения встречаются очень часто. Неудивительно, что многие люди, не исключая имеющих безупречный моральный облик и строго соблюдающих закон, хотят отключить эту опцию.
      К сожалению, в прошлом компанию Google неоднократно ловили на злоупотреблении этой настройкой. Даже если явно отключить историю местоположений, она собиралась под другим именем — в виде «активности в вебе и приложениях». Это привело к череде исков против Google, и компания их проиграла. В 2023 году она выплатила $93 млн по одному иску, а годом ранее — $392 млн по другому. Для корпорации с оборотом в сотни миллиардов это ничтожная сумма, но существенно то, что суд обязал Google пересмотреть свои практики отслеживания местоположения.
      Видимо, это юридическое и пиар-давление привело к тому, что в конце 2023 года было анонсировано радикальное изменение — теперь, по словам Google, история собирается и хранится только на устройствах пользователей. Стала ли эта функция безопасней?
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Группа ученых из Флоридского университета опубликовала исследование, посвященное семейству атак с использованием беспроводных зарядок стандарта Qi, которое они назвали VoltSchemer. В нем они подробно описали, как устроены эти атаки, почему они вообще возможны и каких результатов им удалось добиться.
      Рассказываем о главных находках ученых. А в конце немного поговорим о том, что все это значит с практической точки зрения и стоит ли опасаться того, что кто-нибудь «поджарит» ваш смартфон с помощью беспроводной зарядки.
      Основная идея атак семейства VoltSchemer
      Cтандарт Qi на сегодняшний день является доминирующим: его поддерживают все современные беспроводные зарядки и смартфоны, которые умеют от таких зарядок заряжаться. Атаки VoltSchemer эксплуатируют две фундаментальные особенности этого стандарта.
      Первая особенность связана с тем, что смартфону и беспроводной зарядке нужно каким-то образом обмениваться информацией для того, чтобы координировать процесс зарядки аккумулятора. Для этого стандартом Qi предусмотрен коммуникационный протокол, в котором для передачи сообщений используется то единственное, что связывает зарядку и смартфон, — магнитное поле.
      Вторая особенность: беспроводные зарядки предполагают неограниченное общественное использование. Любой смартфон можно положить на любую беспроводную зарядку без какого-либо предварительного спаривания, и процесс зарядки аккумулятора начнется немедленно. Поэтому в коммуникационном протоколе стандарта Qi не предусмотрено использование шифрования — все команды передаются в открытом виде.
      Из второй особенности следует, что на общение зарядки и смартфона можно провести атаку Man-in-the-Middle — то есть влезть в их коммуникацию, чтобы перехватывать сообщения и отправлять собственные. А благодаря первой особенности сделать это не так уж сложно: чтобы посылать вредоносные команды, достаточно научиться управлять магнитным полем так, чтобы имитировать сигналы стандарта Qi.
      Для большей наглядности исследователи выполнили вредоносный адаптер питания в виде накладки на обычную настенную USB-розетку. Источник
      Собственно, это и сделали исследователи: они соорудили «вредоносный» адаптер питания, замаскированный под настенную USB-розетку, который позволил им создавать точно настроенные шумы напряжения. Тем самым исследователи получили возможность отправлять беспроводной зарядке собственные команды, а также заглушать Qi-сообщения, отправленные смартфоном.
      Таким образом, для атак семейства VoltSchemer не требуются никакие модификации ни «железа», ни прошивки самой беспроводной зарядки. Все, что нужно, — это разместить в подходящем месте вредоносный источник питания.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Эксперты «Лаборатории Касперского» изучили безопасность популярного детского робота и нашли серьезные проблемы, из-за которых злоумышленники получали возможность сделать видеозвонок на любого робота, перехватить управление над родительским аккаунтом или — потенциально — загрузить на робота модифицированную прошивку. Рассказываем обо всем этом подробнее.
      Что умеет игрушечный робот
      Изученная нами модель детского робота — это своеобразный гибрид смартфона (или планшета, если угодно) и умной колонки, поставленный на колесное шасси, позволяющее ему перемещаться в пространстве. Конечностей у робота нет, так что возможность ездить по дому — единственный вариант его физического взаимодействия с окружающим миром.
      Центральным элементом робота служит крупный сенсорный дисплей, на который могут выводиться интерфейс управления, интерактивные и обучающие приложения для ребенка, а также мультяшное лицо, хорошо и разнообразно анимированное. Естественно, анимация зависит от контекста — над персоной робота разработчики очень неплохо потрудились.
      Также роботом можно управлять с помощью голосовых команд, но это работает далеко не со всеми функциями — часто робота все же приходится ловить и тыкать пальцем ему в лицо во встроенный дисплей.
      Помимо встроенного микрофона и весьма громкого динамика, у робота есть широкоугольная камера, расположенная прямо над дисплеем. И одна из важных функций, активно рекламируемых производителем, — это возможность родителям совершать видеозвонки ребенку прямо на робота.
      На передней стороне робота — примерно посередине между дисплеем и колесами — находится дополнительный оптический датчик для распознавания объектов, чтобы робот мог избегать препятствий при перемещении. Поскольку распознавание препятствий никак не зависит от основной камеры, то разработчики предусмотрели очень полезную штуку: физическую шторку, позволяющую полностью эту камеру закрыть.
      Так что если вы опасаетесь, что через камеру кто-нибудь может подсматривать за вами или вашим ребенком (увы, небезосновательно, но об этом ниже), то ее можно просто прикрыть шторкой. Ну а если вы переживаете о подслушивании через встроенный микрофон, то робота можно полностью выключить — судя по тому, как долго после этого он загружается, это действительно честное отключение, а не «режим сна».
      Разумеется, на стороне родителей для управления и контроля за игрушкой используется специализированное приложение. И, как вы вероятно догадываетесь, все это подключено к Интернету и под капотом задействует массу различных облачных сервисов (если вам интересны технические подробности, то их можно найти в полной версии исследования безопасности, опубликованной на Securelist).
      А чем сложнее система, тем больше вероятность того, что в ней есть дыры, которые позволяют сделать с ней что-то нехорошее. И тут мы подходим к основной теме этого поста: внимательно изучив робота, мы обнаружили несколько серьезных уязвимостей.
       
      Посмотреть статью полностью
    • Elly
      От Elly
      Друзья!
       
      Каждую неделю на канале @KasperskyRussia публикуется новое видео, в котором даются советы по безопасности, излагаются новости в сфере IT, лайфхаки, анонсы, поздравления и просто интересные факты. Мы решили провести викторину по указанному ресурсу и надеемся, что каждый участник увлекательно проведёт время в поисках ответов и узнает что-то новенькое для себя. 

       
      НАГРАЖДЕНИЕ
      Без ошибок — 1 000 баллов Одна ошибка — 900 баллов Две ошибки — 800 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 03 марта 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @oit (пользователей @Mrak и @Ellyвключать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю@Ellyчерез систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
×
×
  • Создать...