a Atlassian anunciou a liberação de patches para corrigir várias vulnerabilidades de alta gravidade em quatro de seus produtos: Bamboo, Bitbucket, Confluence e Crowd. Esses bugs permitiam que invasores explorassem falhas para criar condições de negação de serviço (DoS), conforme detalhado no boletim de segurança de setembro de 2024 da Atlassian.

No caso do Bamboo, o problema corrigido estava relacionado ao CVE-2024-34750, um defeito no Coyote, componente conector do Apache Tomcat. Essa falha ocorria durante o processamento de fluxos HTTP/2 com cabeçalhos excessivos, o que resultava na contagem incorreta de fluxos ativos e, consequentemente, na manutenção de conexões que deveriam ter sido fechadas. O problema poderia ser explorado por atacantes não autenticados para expor ativos vulneráveis.

Já no Bitbucket, além da falha no Tomcat Coyote, foi corrigido o CVE-2024-32007, um erro de validação de entrada no código Apache CXF JOSE, que poderia permitir a execução de um ataque DoS especificando um valor excessivamente grande no parâmetro p2c de um token.

No Confluence, foram resolvidas duas vulnerabilidades, uma relacionada à dependência Java Bouncy Castle (CVE-2024-29857) e outra no Clojure (CVE-2024-22871). O Crowd também teve uma atualização para corrigir a falha Bouncy Castle Java.

A Atlassian informou que todas essas vulnerabilidades foram relatadas através de seu programa de recompensas por bugs e reforçou que, até o momento, nenhuma dessas falhas foi explorada ativamente. A empresa recomenda que os usuários atualizem suas instalações para as versões mais recentes ou corrigidas o mais rápido possível.

Fonte:
http://www.securityweek.com/atlassian-patches-vulnerabilities-in-bamboo-bitbucket-confluence-crowd/