12월 Atlassian CVE 보안 취약점 공지

안녕하세요, 디무브 입니다.

12월 보안 권고 개요로 취약점이 공개되었습니다.

여러 제품의 취약점이 공개된 만큼 사용 중이신 제품의 버전과 취약점을 확인해 보시길 바랍니다.

CVE코드와 조치 방법 또한 공유 드리겠습니다.

영향을 받는 제품과 버전

코드	영향을 받는 제품

코드	영향을 받는 제품
CVE-2022-1471	Automation for Jira app (including Server Lite edition) Bitbucket Data Center Bitbucket Server Confluence Data Center Confluence Server Confluence Cloud Migration App Jira Core Data Center Jira Core Server Jira Service Management Data Center Jira Service Management Server Jira Software Data Center Jira Software Server
CVE-2023-22523	Assets Discovery for Jira Service Management Cloud Jira Service Management Server Jira Service Management Data Center
CVE-2023-22524	Atlassian Companion App for MacOS
CVE-2023-22522	Confluence Data Center Confluence Server

CVE-2022-1471

보안 취약점 요약

아래 데이터 센터 및 서버 제품은 SnakeYAML 라이브러리를 사용한 RCE(원격 코드 실행)에 취약 할 수 있습니다.

Atlassian Cloud 사이트는 이 취약점의 영향을 받지 않습니다.

영향을 받는 버전

제품	영향을 받는 버전

제품	영향을 받는 버전
Automation for Jira(A4J) (Add-on) Automation for Jira(A4J) - Server Lite (add-on)	9.0.1 9.0.0 <= 8.2.2
Bitbucket Data Center and Server	7.17.x 7.18.x 7.19.x 7.20.x 7.21.0 7.21.1 7.21.2 7.21.3 7.21.4 7.21.5 7.21.6 7.21.7 7.21.8 7.21.9 7.21.10 7.21.11 7.21.12 7.21.13 7.21.14 7.21.15 8.0.x 8.1.x 8.2.x 8.3.x 8.4.x 8.5.x 8.6.x 8.7.x 8.8.0 8.8.1 8.8.2 8.8.3 8.8.4 8.8.5 8.8.6 8.9.0 8.9.1 8.9.2 8.9.3 8.10.0 8.10.1 8.10.2 8.10.3 8.11.0 8.11.1 8.11.2 8.12.0
Confluence Data Center and Server	6.13.x 6.14.x 6.15.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.0 7.13.1 7.13.2 7.13.3 7.13.4 7.13.5 7.13.6 7.13.7 7.13.8 7.13.9 7.13.10 7.13.11 7.13.12 7.13.13 7.13.14 7.13.15 7.13.16 7.13.17 7.14.x 7.15.x 7.16.x 7.17.x 7.18.x 7.19.0 7.19.1 7.19.2 7.19.3 7.19.4 7.19.5 7.19.6 7.19.7 7.19.8 7.19.9 7.20.x 8.0.x 8.1.x 8.2.x 8.3.0
Confluence Cloud Migration App (CCMA)	Plugin versions lower than 3.4.0.
Jira Core Data Center and Server Jira Software Data Center and Server	9.4.0 9.4.1 9.4.2 9.4.3 9.4.4 9.4.5 9.4.6 9.4.7 9.4.8 9.4.9 9.4.10 9.4.11 9.4.12 9.5.x 9.6.x 9.7.x 9.8.x 9.9.x 9.10.x 9.11.0 9.11.1
Jira Service Management Data Center and Server	5.4.0 5.4.1 5.4.2 5.4.3 5.4.4 5.4.5 5.4.6 5.4.7 5.4.8 5.4.9 5.4.10 5.4.11 5.4.12 5.5.x 5.6.x 5.7.x 5.8.x 5.9.x 5.10.x 5.11.0 5.11.1

취약점 해결 대안 사항

제품	해결 방법	대안 사항

제품

해결 방법

대안 사항

Automation for Jira(A4J)

Automation for Jira(A4J) - Server Lite

다음 버전으로 패치

9.0.2
8.2.4

UPM (Universal Plugin Manager)을 통해 업그레이드

Bitbucket Data Center and Server

다음 버전 이상으로 업그레이드

7.21.16(LTS)
8.8.7
8.9.4(LTS)
8.10.4
8.11.3
8.12.1
8.13.0
8.14.0
8.15.0(데이터 센터만 해당)
8.16.0(데이터 센터만 해당)

이 취약성에 대한 완화 방법은 없습니다.

업그레이드를 권고 드립니다.

Confluence Data Center and Server

다음 버전 이상으로 업그레이드

7.19.17(LTS)
8.4.5
8.5.4(LTS)
8.6.2(데이터 센터만 해당)
8.7.1(데이터 센터만 해당)

이 취약성에 대한 완화 방법은 없습니다.

업그레이드를 권고 드립니다.

Confluence 클라우드 마이그레이션 앱(CCMA)

다음 버전 이상으로 업그레이드

3.4.0

이 취약성에 대한 완화 방법은 없습니다.

업그레이드를 권고 드립니다.

Jira Core Data Center and Server

Jira Software Data Center and Server

다음 버전 이상으로 업그레이드

9.11.2
9.12.0(LTS)
9.4.14(LTS)

제품 인스턴스를 업그레이드할 수 없는 경우 UPM(Universal Plugin Manager)을 통해 Automation for Jira(A4J) 앱을 업그레이드

Jira Service Management Data Center and Server

다음 버전 이상으로 업그레이드

5.11.2
5.12.0(LTS)
5.4.14(LTS)

제품 인스턴스를 업그레이드할 수 없는 경우 UPM(Universal Plugin Manager)을 통해 Automation for Jira(A4J) 앱을 업그레이드

CVE-2022-22523

보안 취약점 요약

Assets Discovery 에이전트를 대상으로 공격자는 RCE(원격 코드 실행)를 할 수 있습니다.

영향을 받는 버전

제품	영향을 받는 버전

제품	영향을 받는 버전
Jira Service Management Cloud (Assets Discovery)	Insight Discovery 1.0 - 3.1.3 Assets Discovery 3.1.4 - 3.1.7 Assets Discovery 3.1.8-cloud - 3.1.11-cloud
Jira Service Management Data Center and Server (Assets Discovery)	Insight Discovery 1.0 - 3.1.7 Assets Discovery 3.1.9 - 3.1.11 Assets Discovery 6.0.0 - 6.1.14, 6.1.14-jira-dc-8

취약점 해결 및 임시 조치

제품	해결 방법	임시 조치

제품

해결 방법

임시 조치

Jira Service Management Cloud (Assets Discovery)

다음 버전 이상으로 업그레이드

Assets Discovery 3.2.0-cloud

Assets Discovery를 즉시 제거할 수 없는 경우 기본 포트(51337)를 차단

Jira Service Management Data Center and Server (Assets Discovery)

다음 버전 이상으로 업그레이드

Assets Discovery 6.2.0

Assets Discovery를 즉시 제거할 수 없는 경우 기본 포트(51337)를 차단

임시 조치의 경우 취약점 해결의 방법을 대처할 수 없습니다.

CVE-2022-22524

보안 취약점 요약

MacOS 전용 Atlassian Companion App의 경우 모든 버전이 취약점을 가집니다.

WebSocket을 활용하여 차단목록을 우회하고, Gatekeeper를 통한 코드 실행을 허용할 수 있습니다.

Atlassian Companion App은 선택적 설치 어플리케이션 입니다.

영향을 받는 버전

제품	영향을 받는 버전

제품	영향을 받는 버전
Atlassian Companion App for MacOS	2.0.0을 제외한 모든 버전

취약점 해결 및 대안 사항

제품	해결 방법

제품	해결 방법
Atlassian Companion App for MacOS	2.0.0 이상으로 버전 업그레이드

대안 사항으로 완전히 제거하여 완화 할 수 있습니다.

CVE-2022-22522

보안 취약점 요약

템플릿을 삽입 하여 Confluence 페이지에 RCE(원격 코드 실행)을 가할 수 있습니다.

영향을 받는 버전

제품	영향을 받는 버전

제품	영향을 받는 버전
Confluence Data Center and Server	4.xx 5.xx 6.xx 7.xx 8.0.x 8.1.x 8.2.x 8.3.x 8.4.0 8.4.1 8.4.2 8.4.3 8.4.4 8.5.0 8.5.1 8.5.2 8.5.3
Confluence Data Center	8.6.0 8.6.1

취약점 해결 및 임시 조치

제품	해결 방법	임시 조치

제품	해결 방법	임시 조치
Confluence Data Center and Server	7.19.17(LTS) 8.4.5 8.5.4(LTS)	인스턴스를 백업합니다. 패치를 적용할 수 있을 때까지 인터넷에서 인스턴스를 제거합니다.
Confluence Data Center	8.6.2 이상(데이터 센터만 해당) 8.7.1 이상(데이터 센터만 해당)	인스턴스를 백업합니다. 패치를 적용할 수 있을 때까지 인터넷에서 인스턴스를 제거합니다.