고객지원

CUSTOMER SUPPORT

<중요> Jira Service Desk Server & Data Center 보안 취약점 권고

작성자 : 관리자 작성일 : 2019-09-20 09:24 조회수 : 36

<중요> Jira Service Desk Server & Data Center 보안 취약점 권고


Jira Service Desk Server & Jira Service Desk Data Center 에 중대한 보안 취약점이 발견되어 

문제를 해결하기 위해 필요한 조치를 안내 드리오니 아래 내용을 확인해 주시기 바랍니다.


보안 취약점 URL 경로 탐색을 통해 정보 노출 취약점 (CVE-2019-14994)
대상 제품 Jira Service Desk Server & Jira Service Desk Data Center
 * Jira Service Desk Cloud 고객은 영향을 받지 않습니다.
 * Jira Service Desk가 설치되지 않은 인스턴스에서는 Jira Core 또는
   Jira Software에 영향을 미치지 않습니다.
내용 Jira Service Desk는 설계 상 고객 포털 사용자에게 요청을 제기하고 해당 이슈를 볼 수 있는 권한 만 부여합니다. 이를 통해 사용자는 Jira에 직접 액세스하지 않고도 고객 포털과 상호 작용할 수 있습니다. 
 
 경로 탐색을 통해 정보 노출 제한 취약점을 악용할 고객 포털 액세스 권한을 가진 원격 공격자는 이러한 제한 사항을 무시할 수 있습니다. 공격자는 누구나 서비스 데스크에 이메일을 보내거나 포털 설정을 활성화 하여 요청을 제기 할 수 있는 Jira Service Desk 프로젝트에 대한 액세스 권한을 부여 할 수 있습니다. 
 
 공격을 통해 공격자는 취약점이 있는 인스턴스에 포함 된 모든 Jira 프로젝트 내의 모든 이슈를 볼 수 있습니다. 여기에는 Jira Service Desk 프로젝트, Jira Core 프로젝트 및 Jira Software 프로젝트가 포함될 수 있습니다.
대응 방안 1. 최신 버전으로 업그레이드 할 것을 권장합니다. [v4.4.1]
 2. 최신 버전이 불가한 경우, Bug fixd된 버전으로 업그레이드: 하단 Fixed Version 참고
 3. 당장 업그레이드가 불가한 경우: 임시 해결 방법으로 다음을 수행할 수 있습니다.

 
   1.reverse proxy
또는 load balancer 레벨에서 URL 경로 탐색 공격에 사용되는
    ".." 를 포함하는 요청을 차단하거나,
   2. 또는 ".."을 포함한 요청을 안전한 URL로 redirect할 수 있도록 하기와 같이
   Jira를 구성하십시오.


  jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml 파일의

  section에 다음 rule를 추가하십시오. 




   파일 저장 후, Jira를 재시작 하십시오.

  Jira Service Desk를 업그레이드 한 후, 임시 조치 기능을 제거할 수 있습니다.
대상 버전
  •   3.9.16 이전의 모든 버전 
  •   3.10.x
  •   3.11.x
  •   3.12.x
  •   3.13.x
  •   3.14.x
  •   3.15.x
  •   3.16.8 부터 3.16.x 이전 (3.16.x의 고정 버전)
  •   4.0.x
  •   4.1.3 이전의 4.1.x ( v4.1.3 : 4.1.x 의 Fixed 버전)
  •   4.2.5 이전의 4.2.x ( v4.2.5 : 4.2.x 의 Fixed 버전)
  •   4.3.4 이전의 4.3.x ( v4.3.4 : 4.3.x 의 Fixed 버전)
  •   4.4.1 이전의 4.4.x ( v4.4.1 : 4.4.x 의 Fixed 버전)
Fixed 버전
  •   3.9.16
  •   3.16.8
  •   4.1.3
  •   4.2.5
  •   4.3.4
  •   4.4.1


모우소프트 고객전용 기술지원 서비스 : https://support.mousoft.co.kr

시스템 접근이 불가한 경우 : support@mousoft.co.kr 로 문의 주시기 바랍니다.

보안 취약점 원문 보기:Jira Service Desk Server 및 Data Center Advisory


감사합니다.

목록