Atlassian 권한 보안 취약점 공지 2024-02-20
안녕하세요, 디무브 입니다.
Atlassian에 보고된 총 11개의 높은 단계의 보안 취약점이 있었습니다.
2024년 2월 Atlassian은 취약점을 공지하였고, 이러한 취약점은 릴리즈된 버전으로 업그레이드하여 해결 할 수 있습니다.
Jira
영향을 받는 버전 | 취약점이 해결된 버전 | 취약점 |
---|---|---|
|
| CVE-2023-46589 |
CVE-2023-46589 : org.apache.tomcat:tomcat-catalina 종속성 취약점
해당 취약점은 인증받지 않은 공격자가 org.apache.tomcat:tomcat-catalina 취약점을 이용하여 정보를 수정하고 노출 시킬 수 있습니다.
Atlassian은 영향을 받는 버전일 경우 최신 버전으로 업그레이드 할 것을 권장하며,
그렇지 않은 경우 인스터스를 지원되는 지정된 fix version으로 업그레이드하는 것을 권고하고 있습니다.
Confluence
영향을 받는 버전 | 해결된 버전 | 취약점 |
---|---|---|
|
| CVE-2024-21678, Stored XSS in Confluence Data Center CVE-2023-5072, DoS (Denial of Service) org.json:json Dependency in Confluence Data Center and Server CVE-2023-6481, CVE-2023-6378, CVE-2023-46589, Request Smuggling org.apache.tomcat:tomcat-catalina Dependency in Confluence Data Center and Server CVE-2023-39410, DoS (Denial of Service) org.apache.avro:avro Dependency in Confluence Data Center and Server CVE-2023-41835, CVE-2023-2976, com.google.guava:guava Dependency in Confluence Data Center and Server |
CVE-2024-21678 : XSS 저장 취약점
해당 취약점은 공격자가 Stored XSS 취약점을 통해 인증을 받아 HTML 혹은 JavaScript 코드를 브라우저에서 실행 할 수 있습니다.
CVE-2023-5072 : (DoS) Json 종속성 취약점
해당 취약점은 org.json:json 종속성의 취약점을 통해 공격자는 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.
CVE-2023-6481: (DoS) ch.qos.logback : logback-classic 종속성 취약점
해당 취약점은 ch.qos.logback:logback-classic의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.
CVE-2023-6378: ch.qos.logback:logback-classic 종속성 취약점
해당 취약점은 CVE-2023-6481과 같이 ch.qos.logback:logback-classic의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.
CVE-2023-46589: org.apache.tomcat : tomcat-catalina 종속성 취약점
해당 취약점은 org.apache.tomcat : tomcat-catalina의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.
CVE-2023-39410: org.apache.avro:avro 종속성 취약점
해당 취약점은 org.apache.avro:avro 의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.
CVE-2023-41835: org.apache.struts:struts2-core 종속성 취약점
해당 취약점은 org.apache.struts:struts2-core 의 종속성 취약점을 통해 인증을 거치지 않고 정보를 노출 시킬 수 있습니다.
CVE-2023-2976:
해당 취약점은 com.google.guava:guava의 종속성 취약점을 통해 정보를 노출 시킬 수 있습니다.
Assets Discovery
영향을 받는 버전 | 해결된 버전 | 취약점 |
---|---|---|
|
| Injection Vulnerability in Assets Discovery CVE-2024-21682 |
CVE-2024-21682: Injection Vulnerability 취약점
해당 취약점은 공공의 취약점으로 Asset의 Discovery를 통해 공격자는 정보를 수정할 수 있으며 시스템 호출을 통해 작업을 실행 시킬 수 있습니다.
Jira Service Management
영향을 받는 버전 | 해결된 버전 | 취약점 |
---|---|---|
|
| com.google.guava:guava Dependency in Jira Service Management Data Center and Server CVE-2023-2976 |
CVE-2023-2976: guava 종속성 취약점
해당 취약점은 com.google.guava:guava 종속성 취약점을 통해 공격자는 정보를 노출 시킬 수 있습니다.