Atlassian vá lỗ hổng nghiêm trọng trong các sản phẩm làm việc cộng tác.

Các sản phẩm phần mềm làm việc cộng tác của Atlassian bị ảnh hưởng bởi lỗ hổng bao gồm: Atlassian Confluence - một nền tảng tương tác để chia sẻ tài liệu, thông tin cho các nhóm phát triển phần mềm; Bamboo - nền tảng kiểm thử và xây dựng phần mềm; FishEye - mã nguồn theo dõi hệ thống cho việc tập trung các trình duyệt từ những vùng chứa khác nhau; Crucible – hệ thống kết hợp mã ngang hàng để kiểm tra framework (bộ khung để phát triển phần mềm ứng dụng).

Atlassian cho biết,tin tặc có thể khai thác lỗ hổng để thực hiện mã Java tùy chỉnh trên các hệ thống có sử dụng frameworks bị tấn công khi có thể truy nhập được vào giao diện Web của các hệ thống này. Ngoài ra, để khai thác Confluence kẻ tấn công còn cần phải truy nhập vào một tài khoản trên nền tảng của Confluence.

Mức độ tác động của lỗ hổng tùy thuộc vào loại dữ liệu được lưu trữ  trong các hệ thống và loại mã độc Java được thiết kế để khai thác lỗ hổng.

Công ty đã phát hành bản vá cho tất cả các sản phẩm bị ảnh hưởng bởi lỗ hổng này. Cụ thể, Confluence dùng bản vá webwork-2.1.5-atlassian-3.jar, Bamboo dùng bản vá freemarker-2.3.16-atlassian-34.jar, FishEye và Crucible thì nâng cấp lên các phiên bản 3.5.5 hoặc 3.6.2 mới.

Nếu những sản phẩm bị ảnh hưởng không truy nhập trực tiếp từ Internet hoặc các mạng không đáng tin cậy khác thì rủi ro của việc bị tấn được giảm thiểu, vì trước tiên, kẻ tấn công phải có khả năng truy nhập tới mạng của máy chủ lưu trữ.

Atlassian có hơn 35.000 khách hàng trên toàn thế giới, bao gồm cả Internet và các công ty phát triển phần mềm lớn như Facebook, Twitter, Hulu, eBay, LinkedIn, Twitter, Netflix, Adobe Systems, Microsoft và Cisco Systems.

Theo cio.com