보안 취약점

다양한 Resource의 Template Infection

대상 제품

Jira Software, Jira Core, Jira Service Desk Server 및 Data center

내용

JIRA Server, Data Center, Contact Administrators 및 Send Bulk Mail작업에서 서버측 Template Injection취약점이 있었습니다.

이 문제가 악용될 수 있는 조건은 아래와 같습니다.

1. SMTP서버가 JIRA에 구성되어 있고, Contact Administrators Form이 사용 가능하다.
-> Contact Administrators Form이 활성화 된 경우 attacker공격자는 인증없이 이 문제를 악용할 수 있습니다.

2. SMTP서버가 JIRA에 구성되어 있고 JIRA Administrators 엑세스 권한을 갖는다.
-> JIRA관리자 access권한이 있는 공격자가 이 문제를 악용할 수 있습니다.

두 가지 경우 모두 공격자가 취약한 버전의 JIRA Server 또는 Data Center를 실행하는 시스템에 원격으로 코드를 실행할 수 있습니다.

대응 방안

1. 가장 최신버전으로 업그레이드

2. 최신 버전이 불가한 경우 bug fix가 된 버전으로 업그레이드: 하단 fixed version 참고

3. 당장 업그레이드를 할 수 없는 경우

1) "Contact Administrators Form"을 disable

JIRA Admin로그인 - System - General Configuration - Edit - Contact Administrators Form 을 OFF로 변경 후 저장

2)/secure/admin/SendBulkMail!default.jspa : end point에 접근하지 못하도록 차단
/conf/server.xml파일에서 아래의 코드를 추가합니다.

참고 : How to block access to a specific URL at Tomcat

대상 버전

4.4.x
5.xx
6.xx
7.0.x / 7.1.x / 7.2.x / 7.3.x / 7.4.x / 7.5.x / 7.6.x(7.6.14 이전 버전)

7.7.x / 7.8.x / 7.9.x / 7.10.x / 7.11.x / 7.12.x / 7.13.x(7.13.5 이전 버전)
8.0.x : 8.0.3 이전 버전
8.1.x : 8.1.2 이전 버전
8.2.x : 8.2.3 이전 버전

Fixed 버전

7.6.14
7.13.5
8.0.3
8.1.2
8.2.3