에이쓰리시큐리티

아틀라시안 지라(Jira) 정보 노출 취약점 보안 업데이트 권고

작성자 : a3security 작성일 : 2019.10.11 조회수 : 5636

첨부파일

□ 개요

o 아틀라시안社는 지라(Jira) 제품의 정보 노출 취약점을 해결한 보안 업데이트를 공지[1]

o 공격자는 해당 취약점을 악용하여 프로젝트 및 이슈 정보 등의 노출 피해를 발생시킬 수 있으므로,

이용자들은 최신 버전으로 업데이트 권고

□ 설명

o 고객 포탈(customer portal)에 접근이 가능한 공격자가 경로 이동(Path traversal) 취약점을 통해 관리자

포탈에 접근할 수 있는 취약점(CVE-2019-14994)

- 취약점이 발생하기 위한 전제조건으로 고객 포탈(customer porta)의 /servicedesk 웹 페이지

인증 권한 필요

□ 영향 받는 제품 버전

버전명	심각도(CVSS)
All versions before 3.9.16 3.10.x 3.11.x 3.12.x 3.13.x 3.14.x 3.15.x 3.16.x before 3.16.8 (the fixed version for 3.16.x) 4.0.x 4.1.x before 4.1.3 (the fixed version for 4.1.x) 4.2.x before 4.2.5 (the fixed version for 4.2.x) 4.3.x before 4.3.4 (the fixed version for 4.3.x) 4.4.0	HIGH(7.5)

□ 해결 방안

o 취약점이 해결된 최신버전(3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4, 4.4.1) 으로 설치

o 보안 패치를 즉시 적용할 수 없는 경우 아래 참고사이트 [1]의 “Workaround” 내용을 확인

□ 용어 설명

o 지라(Jira): 아틀라시안이 개발한 이슈 추적 제품으로 버그 추적, 이슈 추적, 프로젝트 관리 기능 등을

제공하는 소프트웨어

□ 참고 사이트

[1] https://confluence.atlassian.com/jirakb/workaround-for-cve-2019-14994-976762572..html

TOP