- [KISA] 지라(Jira) 원격코드실행 취약점 보안 업데이트 권고 2019.08.19
-
[KISA] 지라(Jira) 원격코드실행 취약점 보안 업데이트 권고
□ 개요
o 아틀라시안社는 지라(Jira) 제품에 대해 원격코드실행 취약점을 해결한 보안 업데이트를 공지[1]
o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 이용자들은 최신 버전으로 업데이트 권고
□ 설명
o 지라 서버 및 데이터 센터의 ContactAdministrators 및 SendBulkMail 기능에서 발생하는 템플릿 삽입 취약점(CVE-2019-11581)
- Contact Administrators에서 발생하는 취약점은 공격자가 인증 없이 공격을 수행할 수 있으나 SendBulkMail의 경우 공격을 위해서는 관리자 권한이 필요
o 취약점이 발현되기 위해서는 아래의 두가지 조건 중 하나를 만족해야 함
- 지라에 SMTP 서버가 설정되어 있고 ContactAdministrators 폼이 활성화되어 있는 상태
- 지라에 SMTP 서버가 설정되어 있고 공격자가 ‘JIRA Administrators’에 접근이 가능한 상태
□ 영향 받는 제품 버전
버전명
심각도
4.4.x
5.x.x
6.x.x
7.0.x, 7.1.x, 7.2.x, 7.3.x, 7.4.x, 7.5.x
7.6.x before 7.6.14 (the fixed version for 7.6.x)
7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x
7.13.x before 7.13.5 (the fixed version for 7.13.x)
8.0.x before 8.0.3 (the fixed version for 8.0.x)
8.1.x before 8.1.2 (the fixed version for 8.1.x)
8.2.x before 8.2.3 (the fixed version for 8.2.x)
Critical
□ 해결 방안
o 취약점이 해결된 최신버전(7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3) 으로 설치
o 보안 패치를 즉시 적용할 수 없는 경우 아래 참고사이트 [2]의 “Mitigation” 내용을 확인하여 ContactAdministrators 폼을 비활성화하거나 SendBulkMail 차단 검토
□ 용어 설명
o 지라(Jira) : 아틀라시안이 개발한 이슈 추적 제품으로 버그 추적, 이슈 추적, 프로젝트 관리 기능 등을 제공하는 소프트웨어
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이 118
[참고사이트]
[1] https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html