<중요> Jira Server & Jira Data Center 보안 취약점 권고
Jira Server & Jirat Data Center 에 중대한 보안 취약점이 발견되어
문제를 해결하기 위해 필요한 조치를 안내 드리오니 아래 내용을 확인해 주시기 바랍니다.
| 보안 취약점 |
Jira Importers Plugin의 템플릿 삽입 취약점 (CVE-2019-15001)
- Jira-importers-plugin는 System apps으로 JIRA System의 일부입니다. System app은 비활성화(Disable)를 할 경우에 심각한 영향을 끼칠 수도 있으며 Jira가 원활하게 작동하지 않을 수 있습니다.
- Jira-importers-plugin의 용도는 3rd party사의 issue tracker(Bugzilla, FogBugz, Mantis)에서 Jira로 이슈를 import할 시에 사용됩니다. |
| 대상 제품 |
Jira Server & Jira Data Center
* Jira Software, Jira Core Server 및 Jira Service Desk가 포함되며,
Jira Cloud 고객은 영향을 받지 않습니다. |
|
| 내용 |
- Jira Importers Plugin (JIM)의 Jira Server 및 Data Center에 server측 템플릿 삽입 취약점이 있습니다.
- [JIRA Administration] 에 접근 권한을 가진 공격자가 취약점을 악용 할 수 있습니다. 이 취약점를 성공적으로 악용하면 공격자는 Jira Server 또는 Data Center를 실행하는 시스템에서 원격으로 코드를 실행할 수 있습니다. |
| 대응 방안 |
1. 최신 버전으로 업그레이드 할 것을 권장합니다. [v8.4.1]
2. 최신 버전이 불가한 경우, Bug fixd된 버전으로 업그레이드: 하단 Fixed Version 참고
3. 당장 업그레이드가 불가한 경우
> Jira Cloud로 마이그레이션 한 후 아래와 같은 임시 조치를 따릅니다.
| Jira Impoters Plugin을 비활성화하지 마십시오. |
임시 조치로, 다음과 같은 endpoint의 PUT request를 차단하십시오.
- /rest/jira-importers-plugin/1.0/demo/create
이 후 Jira를 업그레이드 한 후에는, 해당 endpoint 차단을 해제할 수 있습니다. |
|
대상 버전
|
- 7.0.10 부터 7.6.16 이전 (v7.6.16 : 7.13.x의 Fixed 버전)
- 7.7.0 부터 7.13.8 이전 (v7.13.8 : 7.13.x의 Fixed 버전)
- 8.0.0 부터 8.1.3 이전 (v8.1.3 : 8.1.x의 Fixed 버전)
- 8.2.0 부터 8.2.5 이전 (v8.2.5 : 8.2.x의 Fixed 버전)
- 8.3.0 부터 8.3.4 이전 (v8.3.4 : 8.3.x의 Fixed 버전)
- 8.4.0 부터 8.4.1 이전 (v8.4.1 : 8.4.x의 Fixed 버전)
|
| Fixed 버전 |
- 7.6.16
- 7.13.8
- 8.1.3
- 8.2.5
- 8.3.4
- 8.4.1
|
플래티어 고객전용 기술지원 서비스 : https://support.plateer.com
시스템 접근이 불가한 경우 : sales-swe@plateer.com 로 문의 주시기 바랍니다.
보안 취약점 원문 보기: Jira Server 및 Data Center Advisory
감사합니다.
