ITEASY

닫기

추천 검색어
# 클라우드
# VPN
# 무료서비스
# 호스팅
# 이벤트
닫기정보보호 관리체계 인증(ISMS)

이전 단계

NEWS

지라(Jira) 원격코드실행 취약점 보안 업데이트 권고

2019. 08. 20

□ 개요

o 아틀라시안社는 지라(Jira) 제품에 대해 원격코드실행 취약점을 해결한 보안 업데이트를 공지[1]

o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 이용자들은 최신 버전으로 업데이트 권고

 

□ 설명

o 지라 서버 및 데이터 센터의 ContactAdministrators 및 SendBulkMail 기능에서 발생하는 템플릿 삽입 취약점(CVE-2019-11581)

- Contact Administrators에서 발생하는 취약점은 공격자가 인증 없이 공격을 수행할 수 있으나 SendBulkMail의 경우 공격을 위해서는 관리자 권한이 필요
 

o 취약점이 발현되기 위해서는 아래의 두가지 조건 중 하나를 만족해야 함

- 지라에 SMTP 서버가 설정되어 있고 ContactAdministrators 폼이 활성화되어 있는 상태

- 지라에 SMTP 서버가 설정되어 있고 공격자가 ‘JIRA Administrators’에 접근이 가능한 상태

 

□ 영향 받는 제품 버전

 

버전명

심각도

4.4.x

5.x.x

6.x.x

7.0.x, 7.1.x, 7.2.x, 7.3.x, 7.4.x, 7.5.x

7.6.x before 7.6.14 (the fixed version for 7.6.x)

7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x

7.13.x before 7.13.5 (the fixed version for 7.13.x)

8.0.x before 8.0.3 (the fixed version for 8.0.x)

8.1.x before 8.1.2 (the fixed version for 8.1.x)

8.2.x before 8.2.3 (the fixed version for 8.2.x)

Critical

 

□ 해결 방안

o 취약점이 해결된 최신버전(7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3) 으로 설치

o 보안 패치를 즉시 적용할 수 없는 경우 아래 참고사이트 [2]의 “Mitigation” 내용을 확인하여 ContactAdministrators 폼을 비활성화하거나 SendBulkMail 차단 검토

 

□ 용어 설명

o 지라(Jira) : 아틀라시안이 개발한 이슈 추적 제품으로 버그 추적, 이슈 추적, 프로젝트 관리 기능 등을 제공하는 소프트웨어

 

□ 기타 문의사항

o 한국인터넷진흥원 사이버민원센터: 국번없이 118

 

[참고사이트]

[1] https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html

[2] https://community.atlassian.com/t5/Jira-articles/CVE-2019-11581-Critical-Security-Advisory-for-Jira-Server-and/ba-p/1128241

[3] https://confluence.atlassian.com/adminjiraserver/configuring-the-administrator-contact-form-974375905.html?_ga=2.252405761.940355944.1566195965-1199690533.1566195965



이전 글 Adobe 제품군 보안 업데이트 권고

2019. 08. 17
다음 글 Cisco 제품군 취약점 보안 업데이트 권고

2019. 08. 28

목록

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324
내선번호

  • 내선 1 서버 / IDC

  • 내선 2 클라우드

  • 내선 3 관리대행 / ITO

  • 내선 4 도메인

  • 내선 5 보안 서비스 문의

  • 내선 6 문자 / 카카오비즈메시지

  • 내선 7 Microsoft365

  • 내선 8 마케팅/서비스 제휴

  • 내선 9 홈페이지 제작

  • 내선 0 기타서비스

  • 내선 11 긴급 장애

휴일 긴급 연락처010-3124-8320

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기
팝업닫기