<중요> Jira Service Desk Server & Data Center 보안 취약점 권고
Jira Service Desk Server & Jira Service Desk Data Center 에 중대한 보안 취약점이 발견되어
문제를 해결하기 위해 필요한 조치를 안내 드리오니 아래 내용을 확인해 주시기 바랍니다.
보안 취약점 |
URL 경로 탐색을 통해 정보 노출 취약점 (CVE-2019-14994) |
대상 제품 |
Jira Service Desk Server & Jira Service Desk Data Center
* Jira Service Desk Cloud 고객은 영향을 받지 않습니다. * Jira Service Desk가 설치되지 않은 인스턴스에서는 Jira Core 또는 Jira Software에 영향을 미치지 않습니다. |
|
내용 |
Jira Service Desk는 설계 상 고객 포털 사용자에게 요청을 제기하고 해당 이슈를 볼 수 있는 권한 만 부여합니다. 이를 통해 사용자는 Jira에 직접 액세스하지 않고도 고객 포털과 상호 작용할 수 있습니다. 경로 탐색을 통해 정보 노출 제한 취약점을 악용할 고객 포털 액세스 권한을 가진 원격 공격자는 이러한 제한 사항을 무시할 수 있습니다. 공격자는 누구나 서비스 데스크에 이메일을 보내거나 포털 설정을 활성화 하여 요청을 제기 할 수 있는 Jira Service Desk 프로젝트에 대한 액세스 권한을 부여 할 수 있습니다. 공격을 통해 공격자는 취약점이 있는 인스턴스에 포함 된 모든 Jira 프로젝트 내의 모든 이슈를 볼 수 있습니다. 여기에는 Jira Service Desk 프로젝트, Jira Core 프로젝트 및 Jira Software 프로젝트가 포함될 수 있습니다. |
대응 방안 |
1. 최신 버전으로 업그레이드 할 것을 권장합니다. [v4.4.1] 2. 최신 버전이 불가한 경우, Bug fixd된 버전으로 업그레이드: 하단 Fixed Version 참고 3. 당장 업그레이드가 불가한 경우: 임시 해결 방법으로 다음을 수행할 수 있습니다.
1.reverse proxy 또는 load balancer 레벨에서 URL 경로 탐색 공격에 사용되는 ".." 를 포함하는 요청을 차단하거나, 2. 또는 ".."을 포함한 요청을 안전한 URL로 redirect할 수 있도록 하기와 같이 Jira를 구성하십시오.
jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml 파일의
section에 다음 rule를 추가하십시오.
파일 저장 후, Jira를 재시작 하십시오.
Jira Service Desk를 업그레이드 한 후, 임시 조치 기능을 제거할 수 있습니다. |
|
대상 버전
|
- 3.9.16 이전의 모든 버전
- 3.10.x
- 3.11.x
- 3.12.x
- 3.13.x
- 3.14.x
- 3.15.x
- 3.16.8 부터 3.16.x 이전 (3.16.x의 고정 버전)
- 4.0.x
- 4.1.3 이전의 4.1.x ( v4.1.3 : 4.1.x 의 Fixed 버전)
- 4.2.5 이전의 4.2.x ( v4.2.5 : 4.2.x 의 Fixed 버전)
- 4.3.4 이전의 4.3.x ( v4.3.4 : 4.3.x 의 Fixed 버전)
- 4.4.1 이전의 4.4.x ( v4.4.1 : 4.4.x 의 Fixed 버전)
|
Fixed 버전 |
- 3.9.16
- 3.16.8
- 4.1.3
- 4.2.5
- 4.3.4
- 4.4.1
|
플래티어 고객전용 기술지원 서비스 : https://support.plateer.com
시스템 접근이 불가한 경우 : sales-swe@plateer.com 로 문의 주시기 바랍니다.
보안 취약점 원문 보기:Jira Service Desk Server 및 Data Center Advisory
감사합니다.