안녕하세요, 디무브 입니다.

Atlassian에 보고된 총 11개의 높은 단계의 보안 취약점이 있었습니다.

2024년 2월 Atlassian은 취약점을 공지하였고, 이러한 취약점은 릴리즈된 버전으로 업그레이드하여 해결 할 수 있습니다.

Jira

영향을 받는 버전	취약점이 해결된 버전	취약점

영향을 받는 버전

취약점이 해결된 버전

취약점

from 9.12.0 (LTS) to 9.12.1 (LTS)
from 9.11.0 to 9.11.3
from 9.10.0 to 9.10.2
from 9.9.0 to 9.9.2
from 9.8.0 to 9.8.2
from 9.7.0 to 9.7.2
9.6.0
from 9.5.0 to 9.5.1
from 9.4.0 (LTS) to 9.4.14 (LTS)
from 9.3.0 to 9.3.3
from 9.2.0 to 9.2.1
from 9.1.0 to 9.1.1
9.0
from 8.22.0 to 8.22.6
Any earlier versions

9.14.0 recommended or 9.13.1 or 9.13.0 Data Center Only
9.12.4 (LTS), or 9.12.3 (LTS) or 9.12.2 (LTS)
9.4.17 (LTS) or 9.4.16 (LTS) or 9.4.15 (LTS)

CVE-2023-46589

Request Smuggling org.apache.tomcat:tomcat-catalina Dependency in Jira Software Data Center and Server

CVE-2023-46589 : org.apache.tomcat:tomcat-catalina 종속성 취약점

해당 취약점은 인증받지 않은 공격자가 org.apache.tomcat:tomcat-catalina 취약점을 이용하여 정보를 수정하고 노출 시킬 수 있습니다.

Atlassian은 영향을 받는 버전일 경우 최신 버전으로 업그레이드 할 것을 권장하며,

그렇지 않은 경우 인스터스를 지원되는 지정된 fix version으로 업그레이드하는 것을 권고하고 있습니다.

Confluence

영향을 받는 버전	해결된 버전	취약점

영향을 받는 버전

해결된 버전

취약점

from 8.7.0 to 8.7.1
from 8.6.0 to 8.6.2
from 8.5.0 (LTS) to 8.5.4 (LTS)
from 8.4.0 to 8.4.5
from 8.3.0 to 8.3.4
from 8.2.0 to 8.2.3
from 8.1.0 to 8.1.4
from 8.0.0 to 8.0.4
from 7.20.0 to 7.20.3
from 7.19.0 (LTS) to 7.19.18 (LTS)
from 7.18.0 to 7.18.3
from 7.17.0 to 7.17.5
Any earlier versions

8.8.0 recommended or 8.7.2 Data Center Only
8.5.6 (LTS) or 8.5.5 (LTS)
7.19.19 (

CVE-2024-21678,

Stored XSS in Confluence Data Center

CVE-2023-5072,

DoS (Denial of Service) org.json:json Dependency in Confluence Data Center and Server

CVE-2023-6481,

DoS (Denial of Service) ch.qos.logback:logback-classic Dependency in Confluence Data Center and Server

CVE-2023-6378,

DoS (Denial of Service) ch.qos.logback:logback-classic Dependency in Confluence Data Center and Server

CVE-2023-46589,

Request Smuggling org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center and Server

CVE-2023-39410,

DoS (Denial of Service) org.apache.avro:avro Dependency in Confluence Data Center and Server

CVE-2023-41835,

DoS (Denial of Service) org.apache.struts:struts2-core Dependency in Confluence Data Center and Server

CVE-2023-2976,

com.google.guava:guava Dependency in Confluence Data Center and Server

CVE-2024-21678 : XSS 저장 취약점

해당 취약점은 공격자가 Stored XSS 취약점을 통해 인증을 받아 HTML 혹은 JavaScript 코드를 브라우저에서 실행 할 수 있습니다.

CVE-2023-5072 : (DoS) Json 종속성 취약점

해당 취약점은 org.json:json 종속성의 취약점을 통해 공격자는 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.

CVE-2023-6481: (DoS) ch.qos.logback : logback-classic 종속성 취약점

해당 취약점은 ch.qos.logback:logback-classic의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.

CVE-2023-6378: ch.qos.logback:logback-classic 종속성 취약점

해당 취약점은 CVE-2023-6481과 같이 ch.qos.logback:logback-classic의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.

CVE-2023-46589: org.apache.tomcat : tomcat-catalina 종속성 취약점

해당 취약점은 org.apache.tomcat : tomcat-catalina의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.

CVE-2023-39410: org.apache.avro:avro 종속성 취약점

해당 취약점은 org.apache.avro:avro 의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.

CVE-2023-41835: org.apache.struts:struts2-core 종속성 취약점

해당 취약점은 org.apache.struts:struts2-core 의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.

CVE-2023-2976:

해당 취약점은 com.google.guava:guava의 종속성 취약점을 통해 정보를 노출 시킬 수 있습니다.

Assets Discovery

영향을 받는 버전	해결된 버전	취약점

영향을 받는 버전

해결된 버전

취약점

from 6.0.0 - 6.2.0, “6.2.0-jira-dc-8”
Any earlier versions

7.0.0 recommended or 6.2.1

Injection Vulnerability in Assets Discovery

CVE-2024-21682

CVE-2024-21682: Injection Vulnerability 취약점

해당 취약점은 공공의 취약점으로 Asset의 Discovery를 통해 공격자는 정보를 수정할 수 있으며 시스템 호출을 통해 작업을 실행 시킬 수 있습니다.

Jira Service Management

영향을 받는 버전	해결된 버전	취약점

영향을 받는 버전

해결된 버전

취약점

5.13.0
from 5.12.0 (LTS) to 5.12.2 (LTS)
from 5.11.0 to 5.11.3
from 5.10.0 to 5.10.2
from 5.9.0 to 5.9.2
from 5.8.0 to 5.8.2
from 5.7.0 to 5.7.2
from 5.6.0 to 5.6.2
from 5.5.0 to 5.5.1
from 5.4.0 (LTS) to 5.4.15 (LTS)
from 5.3.0 to 5.3.1
from 5.2.0 to 5.2.1
from 5.1.0 to 5.1.1
5.0
from 4.22.0 to 4.22.6
Any earlier versions

5.14.0 recommended or 5.13.1 Data Center Only
5.12.4 (LTS) or 5.12.3 (LTS)
5.4.17 (LTS) or 5.4.16 (LTS)

com.google.guava:guava Dependency in Jira Service Management Data Center and Server

CVE-2023-2976

CVE-2023-2976: guava 종속성 취약점

해당 취약점은 com.google.guava:guava 종속성 취약점을 통해 공격자는 정보를 노출 시킬 수 있습니다.

디무브 서비스데스크

Atlassian 권한 보안 취약점 공지 2024-02-20

Jira

CVE-2023-46589 : org.apache.tomcat:tomcat-catalina 종속성 취약점

Confluence

CVE-2024-21678 : XSS 저장 취약점

CVE-2023-5072 : (DoS) Json 종속성 취약점

CVE-2023-6481: (DoS) ch.qos.logback : logback-classic 종속성 취약점

CVE-2023-6378: ch.qos.logback:logback-classic 종속성 취약점

CVE-2023-46589: org.apache.tomcat : tomcat-catalina 종속성 취약점

CVE-2023-39410: org.apache.avro:avro 종속성 취약점

CVE-2023-41835: org.apache.struts:struts2-core 종속성 취약점

CVE-2023-2976:

Assets Discovery

CVE-2024-21682: Injection Vulnerability 취약점

Jira Service Management

CVE-2023-2976: guava 종속성 취약점