Atlassian alerte à nouveau sur un bogue dans Confluence qui rend vos données vulnérables aux pirates. Il faut installer le correctif pour ne pas perdre « significativement des données. »
Atlassian alerte ses clients au sujet de CVE-2023-22518, une vulnérabilité qui peut provoquer une autorisation incorrecte dans les versions sur site de Confluence Data Center et Server. Le mot d’ordre de ce fournisseur est simple : mettez à jour le logiciel vers une version protégée. Sinon, vous risquez une « perte de données significative », peut-on lire dans l’avertissement explicite.
Si la mise à jour n’est pas immédiatement possible, Atlassian conseille de faire des sauvegardes et de procéder à des mesures d’atténuation temporaires dès que possible. Il vaut aussi mieux mettre les systèmes vulnérables hors ligne jusqu’à ce qu’ils soient corrigés. Selon Atlassian, la vulnérabilité n’est pas encore activement exploitée, mais il serait imprudent d’attendre qu’elle le soit. Après tout, la vulnérabilité peut donner aux attaquants un accès libre à vos données, bien qu’Atlassian ne précise pas exactement comment, pour ne pas publier un guide gratuit aux pirates.
D’une vulnérabilité à l’autre
Atlassian et ses clients ont été très occupés ces dernières semaines à corriger des vulnérabilités dans son logiciel Confluence. Le mois dernier, une vulnérabilité a été découverte et a été activement exploitée par des pirates chinois. Elle a reçu la note maximale CVE de dix sur dix. Par ailleurs, CVE-2023-22518 est aussi à prendre au sérieux avec une note de 9,1 sur 10.
Cette collection d’incidents de sécurité nuit à la réputation d’Atlassian. À l’été 2022, le fournisseur a lui-même gravement erré en programmant des mots de passe codés en dur dans son logiciel. Bien évidemment, ces mots de passe ont fuité, entraînant des conséquences désastreuses.