From security em unicamp.br Tue Dec 12 09:35:40 2023 From: security em unicamp.br (CSIRT Unicamp) Date: Tue, 12 Dec 2023 09:35:40 -0300 Subject: [SECURITY-L] [RNP/CAIS Alerta #0131] Vulnerabilidades nos produtos Atlassian (Confluence, Jira, Bitbucket) In-Reply-To: References: Message-ID: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [11-12-2023]: Vulnerabilidades nos produtos Atlassian (Confluence, Jira, Bitbucket) Prezados(as), O CAIS alerta à comunidade de segurança cibernética acerca de um conjunto de vulnerabilidades críticas da Atlassian, destacando principalmente Confluence, Jira e Bitbucket. 1) Produtos afetados; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades; 4) Mitigação e correções disponíveis; e 5) Mais Informações. 1) Produtos afetados: Confluence Data Center e Server; App Atlassian Companion para MacOS; Confluence Cloud Migration App (CCMA); Assets Discovery para Jira Service Management Cloud, Server e Data Center; Automation para Jira (A4J) app (incluindo Server Lite edition); Bitbucket Data Center e Server; Jira Core Data Center and Server; Jira Service Management Data Center and Server; e Jira Software Data Center and Server. 2) Identificadores CVE (http://cve.mitre.org): CVE-2023-22522; CVE-2023-22523; CVE-2023-22524; e CVE-2022-1471. 3) Descrição da(s) vulnerabilidade(s): CVE-2023-22522: Vulnerabilidade do tipo "Template Injection", que se explorada, pode permitir que um agente malicioso autenticado, incluindo um com acesso anônimo, insira entradas inseguras em uma página do Confluence; CVE-2023-22523: Falha na descoberta de ativos (Assets Discovery). Esta falha existe entre a aplicação Assets Discovery (anteriormente conhecida como Insight Discovery) e o agente Assets Discovery. Esta vulnerabilidade, se explorada, pode permitir execução remota de código por um agente malicioso; CVE-2023-22524: Falha na bilbioteca SnakeYAML para Java. Esta vulnerabilidade se explorada, pode permitir execução de código remoto de forma arbitrária por um agente malicioso; e CVE-2022-1471: Dentre as vulnerabilidades, o boletim divulgado pela Atlassian, reforça a criticidade de uma vulnerabilidade no aplicativo Atlassian Companion para MacOS, divulgada em 2022, e que possui potencial de exploração. Um agente malicioso pode utilizar WebSockets para ignorar a lista de bloqueio do Atlassian Companion e o MacOS Gatekeeper, permitindo dessa forma a execução de código remoto de forma arbitrária. 4) Mitigação e correções disponíveis: Recomenda-se fortemente executar as atualizações disponibilizadas pelo fornecedor dos produtos em: https://confluence.atlassian.com/security/december-2023-security-advisories-overview-1318892103.html 5) Mais Informações: https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html ; https://confluence.atlassian.com/security/cve-2023-22523-rce-vulnerability-in-assets-discovery-1319248914.html ; https://confluence.atlassian.com/security/cve-2022-1471-snakeyaml-library-rce-vulnerability-impacts-multiple-products-1296171009.html; e https://confluence.atlassian.com/security/cve-2023-22524-rce-vulnerability-in-atlassian-companion-app-for-macos-1319249492.html O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.rnp.br/en/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponível https://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmV3IRQACgkQ1Per/VOa V4C/txAAhJMVxV9iyTg+oJAO4ZHf6QoKXsVzAQOYLYd9a2Vh+NVZqDmQcYitUsam xI6AxazL/lxRclizLZg0A8I9hztwKXNchJ9tfTfwGRZPARgpVm1MpeYPOYNJYFQ8 kTnDaZVxeVJWfU1GqoW1bw9LLzEmRgY1cQoLAr8qHU7HZeGe5Yc8csCQ/B+/OS2O 7RRJuQniqAtU9kb6e+nX+IH2kM0T0pM4Xp6Itiv7bjcsatSYDMoP/VeGKEJmskwy qD6tBCIU50gNRBO7wpx6EbkL+v1yx5R3GbPxN4OF7M2+9q/KIhgW06XD9fOAmhOB 8he/Dn8X+5qQmJwZgGpGeiu8RwSCmD7XG4GZnsLPRE8B+rf2M+P6X79r7DGBDuFh R5TUn0oGnFaaf7TV2s81kVc57uPKMxs5l9z7MZosXCKBbN1UilORPE87U0TdJq38 sv5JlBTYhIwbO+f6JNuCriDdWt7qvyqKsbvFj9ZyfuQPBgG5QrQ1F/Azn/Us9XRB NPccWUbvHVWiOqXimvSRmZcPZrov9UNw5+rD/46Jt/xs1QQYU4f0lZe4vVBl9I2l kUu4+csG5KNaHUa6rNKVUFwowelyoRRYw+9oxhj47aTwLjTwJuniDbpWk8jHYCaW wOwW+6e01RMZ7NtvmwqRW18at8Ar61j9F2PVXWgXNObSYT79G0A= =psz+ -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta em listas.rnp.br https://listas.rnp.br/mailman/listinfo/rnp-alerta === Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC GnuPG Public Key: http://www.security.unicamp.br/security.asc [^] Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830 -------------- Próxima Parte ---------- Um anexo em HTML foi limpo... URL: From security em unicamp.br Wed Dec 13 17:25:59 2023 From: security em unicamp.br (CSIRT Unicamp) Date: Wed, 13 Dec 2023 17:25:59 -0300 Subject: [SECURITY-L] An issue in Netgate pfSense v.2.7.0 allows a remote attacker to execute arbitrary Message-ID: https://nvd.nist.gov/vuln/detail/CVE-2023-42326 === Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC GnuPG Public Key: http://www.security.unicamp.br/security.asc [^] Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830 -------------- Próxima Parte ---------- Um anexo em HTML foi limpo... URL: From security em unicamp.br Thu Dec 14 16:20:28 2023 From: security em unicamp.br (CSIRT Unicamp) Date: Thu, 14 Dec 2023 16:20:28 -0300 Subject: [SECURITY-L] 23.04 (Lunar Lobster) reaches End of Life on January 25, 2024 In-Reply-To: <20231214184302.GQ2031@murraytwins.com> References: <20231214184302.GQ2031@murraytwins.com> Message-ID: Ubuntu announced its 23.04 (Lunar Lobster) release almost 9 months ago, on April 20, 2023 and its support period is now nearing its end. Ubuntu 23.04 will reach end of life on January 25, 2024. At that time, Ubuntu Security Notices will no longer include information or updated packages for Ubuntu 23.04. The supported upgrade path from Ubuntu 23.04 is via Ubuntu 23.10. Instructions and caveats for the upgrade may be found at: https://help.ubuntu.com/community/ManticUpgrades Ubuntu 23.10 continues to be actively supported with security updates and select high-impact bug fixes. Announcements of security updates for Ubuntu releases are sent to the ubuntu-security-announce mailing list, information about which may be found at: https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce Since its launch in October 2004 Ubuntu has become one of the most highly regarded Linux distributions with millions of users in homes, schools, businesses and governments around the world. Ubuntu is Open Source software, costs nothing to download, and users are free to customise or alter their software in order to meet their needs. On behalf of the Ubuntu Release Team, -- Brian Murray === Computer Security Incident Response Team - CSIRT Universidade Estadual de Campinas - Unicamp Centro de Computacao - CCUEC GnuPG Public Key: http://www.security.unicamp.br/security.asc [^] Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830 -------------- Próxima Parte ---------- Um anexo em HTML foi limpo... URL: