12월 Atlassian CVE 보안 취약점 공지
안녕하세요, 디무브 입니다.
12월 보안 권고 개요로 취약점이 공개되었습니다.
여러 제품의 취약점이 공개된 만큼 사용 중이신 제품의 버전과 취약점을 확인해 보시길 바랍니다.
CVE코드와 조치 방법 또한 공유 드리겠습니다.
영향을 받는 제품과 버전
코드 | 영향을 받는 제품 |
---|---|
CVE-2022-1471 |
|
CVE-2023-22523 | Assets Discovery for
|
CVE-2023-22524 | Atlassian Companion App for MacOS |
CVE-2023-22522 |
|
CVE-2022-1471
보안 취약점 요약
아래 데이터 센터 및 서버 제품은 SnakeYAML 라이브러리를 사용한 RCE(원격 코드 실행)에 취약 할 수 있습니다.
Atlassian Cloud 사이트는 이 취약점의 영향을 받지 않습니다.
영향을 받는 버전
제품 | 영향을 받는 버전 |
---|---|
Automation for Jira(A4J) (Add-on) Automation for Jira(A4J) - Server Lite (add-on) |
|
Bitbucket Data Center and Server |
|
Confluence Data Center and Server |
|
Confluence Cloud Migration App (CCMA) |
|
Jira Core Data Center and Server Jira Software Data Center and Server |
|
Jira Service Management Data Center and Server |
|
취약점 해결 대안 사항
제품 | 해결 방법 | 대안 사항 |
---|---|---|
Automation for Jira(A4J) Automation for Jira(A4J) - Server Lite | 다음 버전으로 패치
| UPM (Universal Plugin Manager)을 통해 업그레이드 |
Bitbucket Data Center and Server | 다음 버전 이상으로 업그레이드
| 이 취약성에 대한 완화 방법은 없습니다. 업그레이드를 권고 드립니다. |
Confluence Data Center and Server | 다음 버전 이상으로 업그레이드
| 이 취약성에 대한 완화 방법은 없습니다. 업그레이드를 권고 드립니다. |
Confluence 클라우드 마이그레이션 앱(CCMA) | 다음 버전 이상으로 업그레이드
| 이 취약성에 대한 완화 방법은 없습니다. 업그레이드를 권고 드립니다. |
Jira Core Data Center and Server Jira Software Data Center and Server | 다음 버전 이상으로 업그레이드
| 제품 인스턴스를 업그레이드할 수 없는 경우 UPM(Universal Plugin Manager)을 통해 Automation for Jira(A4J) 앱을 업그레이드
|
Jira Service Management Data Center and Server | 다음 버전 이상으로 업그레이드
| 제품 인스턴스를 업그레이드할 수 없는 경우 UPM(Universal Plugin Manager)을 통해 Automation for Jira(A4J) 앱을 업그레이드 |
CVE-2022-22523
보안 취약점 요약
Assets Discovery 에이전트를 대상으로 공격자는 RCE(원격 코드 실행)를 할 수 있습니다.
영향을 받는 버전
제품 | 영향을 받는 버전 |
---|---|
Jira Service Management Cloud (Assets Discovery) |
|
Jira Service Management Data Center and Server (Assets Discovery) |
|
취약점 해결 및 임시 조치
제품 | 해결 방법 | 임시 조치 |
---|---|---|
Jira Service Management Cloud (Assets Discovery) | 다음 버전 이상으로 업그레이드
| Assets Discovery를 즉시 제거할 수 없는 경우 기본 포트(51337)를 차단 |
Jira Service Management Data Center and Server (Assets Discovery) | 다음 버전 이상으로 업그레이드
| Assets Discovery를 즉시 제거할 수 없는 경우 기본 포트(51337)를 차단 |
임시 조치의 경우 취약점 해결의 방법을 대처할 수 없습니다.
CVE-2022-22524
보안 취약점 요약
MacOS 전용 Atlassian Companion App의 경우 모든 버전이 취약점을 가집니다.
WebSocket을 활용하여 차단목록을 우회하고, Gatekeeper를 통한 코드 실행을 허용할 수 있습니다.
Atlassian Companion App은 선택적 설치 어플리케이션 입니다.
영향을 받는 버전
제품 | 영향을 받는 버전 |
---|---|
Atlassian Companion App for MacOS | 2.0.0을 제외한 모든 버전 |
취약점 해결 및 대안 사항
제품 | 해결 방법 |
---|---|
Atlassian Companion App for MacOS | 2.0.0 이상으로 버전 업그레이드 |
대안 사항으로 완전히 제거하여 완화 할 수 있습니다.
CVE-2022-22522
보안 취약점 요약
템플릿을 삽입 하여 Confluence 페이지에 RCE(원격 코드 실행)을 가할 수 있습니다.
영향을 받는 버전
제품 | 영향을 받는 버전 |
---|---|
Confluence Data Center and Server |
|
Confluence Data Center |
|
취약점 해결 및 임시 조치
제품 | 해결 방법 | 임시 조치 |
---|---|---|
Confluence Data Center and Server |
|
|
Confluence Data Center |
|
|