Atlassian исправила критическую брешь в своих программных продуктах

Эксплуатация уязвимости позволяла злоумышленнику выполнить код Java на целевых системах. Компания Atlassian исправила критическую уязвимость во всех версиях программных продуктов  Confluence ,  Bamboo ,  FishEye  и  Crucible . Разработчик разослал уведомления своим клиентам с предупреждением о наличии брешей в Confluence (до версии 5.6.5), Bamboo (до 5.7), FishEye и Crucible (до 3.6.1).

Все платформы содержали ошибку в обработке специально оформленного выражения OGNL (Object-Graph Navigation Language). Эксплуатация данной бреши позволяла злоумышленнику выполнить код Java на целевых системах, использующих фреймворки WebWork и Apache Struts. Для выполнения кода преступнику потребуется доступ к соответствующему web-интерфейсу. Специалисты Atlassian настоятельно рекомендуют всем пользователям обновить текущие версии используемых программных продуктов. Atlassian Confluence – тиражируемая wiki-система, написанная на языке Java и предназначенная для внутреннего использования организациями, занимающимися проектами по разработке ПО. Платформа Bamboo представляет собой сервер непрерывной интеграции, облегчающий управление разработкой, автоматизирующий процесс компиляции исходного кода и запуска тестов, а также уведомляющий о возникающих проблемах.