EN


Multiple Products Security Advisory - Unrendered unicode bidirectional override characters - CVE-2021-42574

published by Atlassian on November 1st 2021

Atlassian has published a security advisory affecting Confluence Server and Data Center products: 
https://confluence.atlassian.com/security/multiple-products-security-advisory-unrendered-unicode-bidirectional-override-characters-cve-2021-42574-1086419475.html

Atlassian Cloud customers are also impacted, please read this article:

CVE-2021-42574 - Unrendered unicode bidirectional override characters in Cloud sites


What are the risks? 

A vulnerability has been identified affecting multiple Atlassian products where special characters, known as Unicode bidirectional override characters, are not rendered or displayed in the affected applications. These special characters are typically not displayed by the browser or code editors but can affect the meaning of the source code when it is processed by a compiler or an interpreter.

After investigation, the Valiantys hosting team determined that the vulnerability was not critical for the hosted applications. As a result, we do not ask for an application upgrade in view of this severity.

How to protect your instance? 

Atlassian recommends that you upgrade to the latest fix version.

Upgrade

Atlassian has taken the following steps to address this issue:

  • Released Bamboo Server and Data Center version 8.0.4 that contains a fix for this issue.

  • Released Bitbucket Server and Data Center versions 6.10.14, 7.6.10, and 7.17.1 that contains a fix for this issue.

  • Released Confluence Server and Data Center versions 7.4.13, 7.13.2, and 7.14.1 that contains a fix for this issue.

  • Released Crucible version 4.8.8 that contains a fix for this issue.

  • Released Fisheye version 4.8.8 that contains a fix for this issue.

  • Released Insight Asset Management marketplace app version 8.9.4 that contains a fix for this issue.

  • Released Jira Service Management Server and Data Center versions 4.13.13, and 4.20.1 that contains a fix for this issue.

  • Released Jira Software Server and Data Center versions 8.13.13, and 8.20.1 that contains a fix for this issue.

→ If your instance is hosted by Valiantys

As per our anaysis, instances hosting in Valiantys Cloud will not be upgraded, considering the CVE is not flagged as critical by Atlassian.
Nevertheless, you can still ask for a upgrade than can be based on your free annual upgrade or handled by the Support contract if already used.

→ If your instance isn't hosted by Valiantys

You can plan an upgrade to a version that fixes this security vulnerability.


If you need assistance to help you fix this issue, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you choose to upgrade your instance and need help, contact us.


We thank you for your trust and we will be happy to help you if you have any questions.

Best regards,

The Valiantys Managed Services Team

FR


Avis de sécurité pour plusieurs produits - Caractères de remplacement bidirectionnel unicode non rendus - CVE-2021-42574

publiée par Atlassian le 20 Octobre 2021

Atlassian a publié une faille de sécurité concernant les produits Jira Server et Data Center : 
https://confluence.atlassian.com/security/multiple-products-security-advisory-unrendered-unicode-bidirectional-override-characters-cve-2021-42574-1086419475.html

Les instances Atlassian Cloud sont également impactées, merci de consulter l'article:

CVE-2021-42574 - Unrendered unicode bidirectional override characters in Cloud sites


Quels sont les risques ? 

Une vulnérabilité a été identifiée affectant plusieurs produits Atlassian où les caractères spéciaux, appelés caractères de remplacement bidirectionnel Unicode, ne sont pas rendus ou affichés dans les applications concernées. Ces caractères spéciaux ne sont généralement pas affichés par le navigateur ou les éditeurs de code mais peuvent affecter la signification du code source lorsqu'il est traité par un compilateur ou un interpréteur.

Après enquête, l'équipe d'hébergement de Valiantys a déterminé que la vulnérabilité n'était pas critique pour les applications hébergées. Par conséquent, nous ne demandons pas de mise à jour des applications compte tenu de cette sévérité.

Comment protéger votre instance ? 

Atlassian vous recommande de mettre à jour vers la dernière version du correctif.

Mise à jour

Atlassian a pris les mesures suivantes pour résoudre ce problème :

  • Bamboo Server et Data Center version 8.0.4 qui contient un correctif pour ce problème.
  • Bitbucket Server and Data Center versions 6.10.14, 7.6.10 et 7.17.1 contenant un correctif pour ce problème.
  • Confluence Server and Data Center versions 7.4.13, 7.13.2 et 7.14.1  contenant un correctif pour ce problème.
  • Crucible version 4.8.8 qui contient un correctif pour ce problème.
  • Fisheye version 4.8.8 qui contient un correctif pour ce problème.
  • Insight Asset Management version 8.9.4 qui contient un correctif pour ce problème.
  • Jira Service Management Server and Data Center versions 4.13.13 et 4.20.1 contenant un correctif pour ce problème.
  • Jira Software Server and Data Center versions 8.13.13 et 8.20.1 contenant un correctif pour ce problème.

→ Si votre instance est hébergée par Valiantys.

Selon notre analyse, les instances hébergées dans le Cloud de Valiantys ne nécessitent pas de montée de version, étant donné que la CVE n'est pas considérée comme critique par l'éditeur lui-même.
Néanmoins, vous pouvez toujours demander une montée de version, que nous traiterons en tant que montée de version annuelle incluse dans votre contrat d'hébergement, ou par le biais de votre contrat de support si la montée de version annuelle a déjà été utilisée.

→ Si votre instance n'est pas hébergée par Valiantys

Vous pouvez planifier une mise à niveau vers une version qui corrige cette vulnérabilité de sécurité.


Si vous avez besoin d'aide pour corriger cette faille, n'hésitez pas à créer un ticket de support sur notre portail dédié. 

Si vous souhaitez tout de même effectuer une montée de version et avez besoin d'aide, contactez-nous.


Nous vous remercions de votre confiance et nous restons à votre disposition si vous avez des questions.

Cordialement,

L'équipe Managed Services de Valiantys

  • No labels