고객지원

CUSTOMER SUPPORT

<중요> Jira Server & Jira Data Center 보안 취약점 권고

작성자 : 관리자 작성일 : 2019-09-19 18:29 조회수 : 143

<중요> Jira Server & Jira Data Center 보안 취약점 권고


Jira Server & Jirat Data Center 에 중대한 보안 취약점이 발견되어 

문제를 해결하기 위해 필요한 조치를 안내 드리오니 아래 내용을 확인해 주시기 바랍니다.


보안 취약점

 

Jira Importers Plugin의 템플릿 삽입 취약점 (CVE-2019-15001)


- Jira-importers-plugin는 System apps으로 JIRA System의 일부입니다. System app은 비활성화(Disable)를 할 경우에 심각한 영향을 끼칠 수도 있으며 Jira가 원활하게 작동하지 않을 수 있습니다. 
- Jira-importers-plugin의 용도는 3rd party사의 issue tracker(Bugzilla, FogBugz, Mantis)에서 Jira로 이슈를 import할 시에 사용됩니다.
대상 제품  Jira Server & Jira Data Center
 * Jira Software, Jira Core Server 및 Jira Service Desk가 포함되며,
   Jira Cloud 고객은 영향을 받지 않습니다.
내용- Jira Importers Plugin (JIM)의 Jira Server 및 Data Center에 server측 템플릿 삽입 취약점이 있습니다.
- [JIRA Administration] 에 접근 권한을 가진 공격자가 취약점을 악용 할 수 있습니다. 이 취약점를 성공적으로 악용하면 공격자는 Jira Server 또는 Data Center를 실행하는 시스템에서 원격으로 코드를 실행할 수 있습니다. 
대응 방안 1. 최신 버전으로 업그레이드 할 것을 권장합니다. [v8.4.1]
 2. 최신 버전이 불가한 경우, Bug fixd된 버전으로 업그레이드: 하단 Fixed Version 참고
 3. 당장 업그레이드가 불가한 경우
 > Jira Cloud로 마이그레이션 한 후 아래와 같은 임시 조치를 따릅니다. 

    Jira Impoters Plugin을 비활성화하지 마십시오.
    임시 조치로, 다음과 같은 endpoint의 PUT request를 차단하십시오.
  •  /rest/jira-importers-plugin/1.0/demo/create
   이 후 Jira를 업그레이드 한 후에는, 해당 endpoint 차단을 해제할 수 있습니다.  
대상 버전
  •  7.0.10 부터 7.6.16 이전 (v7.6.16 : 7.13.x의 Fixed 버전) 
  •  7.7.0 부터 7.13.8 이전  (v7.13.8 : 7.13.x의 Fixed 버전) 
  •  8.0.0 부터 8.1.3 이전  (v8.1.3 : 8.1.x의 Fixed 버전)
  •  8.2.0 부터 8.2.5 이전 (v8.2.5 : 8.2.x의 Fixed 버전) 
  •  8.3.0 부터 8.3.4 이전 (v8.3.4 : 8.3.x의 Fixed 버전)
  •  8.4.0 부터 8.4.1 이전 (v8.4.1 : 8.4.x의 Fixed 버전) 
Fixed 버전
  •  7.6.16
  •  7.13.8
  •  8.1.3
  •  8.2.5
  •  8.3.4
  •  8.4.1


모우소프트 고객전용 기술지원 서비스 : https://support.mousoft.co.kr

시스템 접근이 불가한 경우 : support@mousoft.co.kr 로 문의 주시기 바랍니다.

보안 취약점 원문 보기: Jira Server 및 Data Center Advisory

 

감사합니다.

목록