고객지원

CUSTOMER SUPPORT

<중요>Jira Server 및 Data Center 보안 취약점 권고

작성자 : 관리자 작성일 : 2019-07-11 09:45 조회수 : 228

<중요>Jira Server 및 Data Center 보안 취약점 권고


Jira Server와 Jira Data Center 에 중대한 보안 취약점이 발견되어 

문제를 해결하기 위해 필요한 조치를 안내 드리오니 아래 내용을 확인해 주시기 바랍니다.


보안 취약점


다양한 Resource Template Infection


대상 제품


Jira Software, Jira Core, Jira Service Desk Server Data center


내용


JIRA Server, Data Center, Contact Administrators Send Bulk Mail작업에서 서버측 Template Injection취약점이 있었습니다.


이 문제가 악용될 수 있는 조건은 아래와 같습니다.

1. SMTP서버가 JIRA에 구성되어 있고, Contact Administrators Form이 사용 가능하다.
-> Contact Administrators Form이 활성화 된 경우 attacker공격자는 인증없이 이 문제를 악용할 수 있습니다.


2. SMTP서버가 JIRA에 구성되어 있고 JIRA Administrators 엑세스 권한을 갖는다.
-> JIRA관리자 access권한이 있는 공격자가 이 문제를 악용할 수 있습니다.

두 가지 경우 모두 공격자가 취약한 버전의 JIRA Server 또는 Data Center를 실행하는 시스템에 원격으로 코드를 실행할 수 있습니다.


대응 방안


1. 가장 최신버전으로 업그레이드

2. 최신 버전이 불가한 경우 bug fix가 된 버전으로 업그레이드: 하단 fixed version 참고

3. 당장 업그레이드를 할 수 없는 경우

1) "Contact Administrators Form" disable

JIRA Admin로그인 - System - General Configuration - Edit - Contact Administrators Form OFF로 변경 후 저장

 

2)/secure/admin/SendBulkMail!default.jspa : end point에 접근하지 못하도록 차단
/conf/server.xml
파일에서 아래의 코드를 추가합니다.




    

참고 : How to block access to a specific URL at Tomcat


대상 버전


4.4.x
5.xx
6.xx
7.0.x / 7.1.x / 7.2.x / 7.3.x / 7.4.x / 7.5.x / 7.6.x(7.6.14
이전 버전)

7.7.x / 7.8.x / 7.9.x / 7.10.x / 7.11.x / 7.12.x / 7.13.x(7.13.5 이전 버전)
8.0.x : 8.0.3
이전 버전
8.1.x : 8.1.2
이전 버전
8.2.x : 8.2.3
이전 버전


Fixed 버전


7.6.14
7.13.5
8.0.3
8.1.2
8.2.3



Jira Server 및 Daba Center 보안 취약점 원문 보기: JIRA Security Advisory

모우소프트 고객전용 기술지원 서비스 : https://support.mousoft.co.kr
시스템 접근이 불가한 경우 : support@mousoft.co.kr 로 문의 주시기 바랍니다.


감사합니다.


목록