CVE-2022-26136/CVE-2022-26137 취약점 안내 및 해결 방안

Owned by Eddie Beak
Last updated: Jul 25, 2022 by Jackson

원문: https://confluence.atlassian.com/kb/faq-for-cve-2022-26136-cve-2022-26137-1141988432.html

 

안녕하세요, 디무브 입니다.

현재 아틀라시안 서버 버전 및 데이터 센터 버전 제품에 대한 중요한 보안 취약점이 발견되어 안내드립니다.

해당 취약점은 여러 인증되지 않은 원격 공격자가 애플리케이션이 요청 또는 응답을 처리할 때 추가 서블릿 필터가 호출되도록 할 수 있습니다. 특수하게 조작된 HTTP 요청을 보내면 CORS 요청에 응답하는 데 사용되는 서블릿 필터가 호출되어 CORS 우회가 발생 하여 사용자를 속여 접근한 뒤 악성 URL을 요청하도록 할 수 있습니다. 이로 인해 공격자는 피해자의 권한으로 취약한 애플리케이션에 접근이 가능하게 됩니다.

 

해당 취약점에 대한 영향도는 제품 별로 상이하지만 치명적인 보안 취약점이기 때문에 빠른 패치가 필요합니다.

영향을 받는 Atlassian Server(DC) 제품

영향을 받는 버전

제품

영향을 받는 버전

제품

영향을 받는 버전

Bamboo 서버 및 데이터 센터

  • 7.2.9 미만의 전체 버전

  • 8.0.x ~ 8.0.9 버전

  • 8.1.x ~ 8.1.8 버전

  • 8.2.x ~ 8.2.4 버전

Bitbucket 서버 및 데이터 센터

  • 7.6.16 미만의 전체 버전

  • 7.7 ~ 7.16 전체 버전

  • 7.17 ~ 7.17.8 버전

  • 7.18 전체 버전

  • 7.19 ~ 7.19.5 버전

  • 7.20 ~ 7.20.2 버전

  • 7.21 ~ 7.21.2 버전

  • 8.0.0

  • 8.1.0

Confluence 서버 및 데이터 센터

  • 7.4.17 미만의 전체 버전

  • 7.5 ~ 7.12 전체 버전

  • 7.13 ~ 7.13.7 버전

  • 7.14 ~7.14.3 버전

  • 7.15 ~7.15.2 버전

  • 7.16. ~ 7.16.4 버전

  • 7.17 ~ 7.17.4 버전

  • 7.18.0 버전

Crowd 서버 및 데이터 센터

  • 4.3.8 미만의 전체 버전

  • 4.4 ~ 4.4.2 버전

  • 5.0.0 버전

Crucible

  • 4.8.10 미만의 전체버전

Fisheye

  • 4.8.10 미만의 전체 버전

Jira 서버 및 데이터 센터

  • 8.13.22 미만의 전체 버전

  • 8.14 ~ 8.19 전체 버전

  • 8.20 ~ 8.20.10 버전

  • 8.21 전체 버전

  • 8.22.x < 8.224 8.22.4 에는 영향을 미치는 중요 버그가 포함되어 있습니다. 8.22.6으로 업데이트할 것을 권장합니다.

Jira Service Management 서버 및 데이터 센터

  • 4.13.22 미만의 전체 버전

  • 4.14 ~ 4.19 전체 버전

  • 4.20 ~ 4.20.10 버전

  • 4.21 전체 버전

  • 4.22 ~ 4.22.4 버전

 

해결 방안

 

아틀라시안의 경우 아래 취약점이 개선된 버전으로 업그레이드 할 것을 권고하고 있습니다.

 

수정된 버전

제품

Fixed 버전

제품

Fixed 버전

Bamboo 서버 및 데이터 센터

  • 7.2.9 미만의 7.2 버전 >= 7.2.9

  • 8.0.9 미만의 8.0 버전 >= 8.0.9

  • 8.1.8 미만의 8.1 버전 >= 8.1.8

  • 8.2.4 미만의 8.2 버전>= 8.2.4

  • 9.0.0 미만의 전체 버전

Bitbucket 서버 및 데이터 센터

  • 7.6.16 미만의 7.6 버전 >= 7.6.16(LTS)

  • 7.17.8 미만의 7.17 버전 >= 7.17.8(LTS)

  • 7.19.5 미만의 7.19 버전 >= 7.19.5

  • 7.20.2 미만의 7.20 버전 >= 7.20.2

  • 7.21.2 미만의 7.17 버전 >= 7.21.2(LTS)

  • 8.0.1 미만의 8.0 버전 >= 8.0.1

  • 8.1.1 미만의 7.17 버전 >= 8.1.1

  • 8.2.0 미만의 전체 버전

Confluence 서버 및 데이터 센터

  • 7.4.17 미만의 7.4.1 버전 >= 7.4.17(LTS)

  • 7.13.7 미만의 7.13 버전 >= 7.13.7(LTS)

  • 7.14.3 미만의 7.14 버전 >= 7.14.3

  • 7.15.2 미만의 7.15 버전 >= 7.15.2

  • 7.16.4 미만의 7.16 버전 >= 7.16.4

  • 7.17.4 미만의 7.17 버전 >= 7.17.4

  • 7.18.1 미만의 7.18 버전 >= 7.18.1

Crowd 서버 및 데이터 센터

  • 4.3.8 미만의 4.3 버전 >= 4.3. 8

  • 4.4.2 미만의 4.4 버전 >= 4.4. 2

  • 5.0. 1 미만의 전체 버전

Crucible

  • 4.8.10 미만의 전체 버전

Fisheye

  • 4.8.10 미만의 전체 버전

Jira Software 서버 및 데이터 센터

  • 8.13.22 미만의 8.13 버전 >= 8.13.22(LTS)

  • 8.20.10 미만의 8.20 버전 >= 8.20.10 (LTS)

  • 8.22.4 미만의 8.22 버전 >= 8.22.4 8.22.4에는 영향을 미치는 중요 버그가 포함되어 있습니다. 8.22.6으로 업데이트할 것을 권장합니다.

  • 9.0.0 미만의 전체 버전

Jira 서비스 관리 서버 및 데이터 센터

  • 4.13.2 2 미만의 4.13 버전 >= 4.13.2 2(LTS)

  • 4.20.10 미만의 4.20 버전 >= 4.20. 10 (LTS)

  • 4.22.4 미만의 4.22 버전 >= 4.22.4, 5  4.22.4,5 에는 보안 취약점이 포함되어 있습니다. 4.22.6으로 업데이트할 것을 권장합니다.

  • 버전 >= 5.0.0

 

취약점 정리

취약점 설명

인증되지 않은 공격자가 서블릿 필터를 우회할 수 있도록 영향을 끼치는 취약점

취약점 설명

인증되지 않은 공격자가 서블릿 필터를 우회할 수 있도록 영향을 끼치는 취약점

취약점 공개 날짜

Jul 20, 2022

영향을 받는 제품

  • Bamboo 서버 및 데이터 센터

  • Bitbucket 서버 및 데이터 센터

  • Cofluence 서버 및 데이터 센터

  • Crowd 서버 및 데이터 센터

  • Fisheye and Crucible

  • Jira 서버 및 데이터 센터

  • JSM 서버 및 데이터 센터

CVE ID

CVE-2022-26136
CVE-2022-26137

 

관련하여 도움이 필요하실 경우 디무브로 언제든지 문의해주시기 바랍니다.

감사합니다.