□ 개요
o Atlassian社는 자사 제품의 취약점을 해결한 보안 업데이트 공지
o 해당 취약점은 실제 침해사고에 악용되고 있으므로, 해당 제품을 사용하는 이용자들은
최신 버전으로 업데이트 권고
□ 설명
o Atlassian社의 여러 제품에 탑재된 서블릿 필터에서 발생하는 인증 우회, XSS
취약점 (CVE-2022-26136) 및 CORS(교차
출처 리소스 공유) 우회 취약점 (CVE-2022-26137) [1]
o Confluence Server 및 Data Center의 Questions for Confluence 앱에서 발생하는 하드코딩된 자격 증명 사용 취약점 (CVE-2022-26138) [2]
□ 영향받는 제품 및 해결 방안
o 참고사이트 [1]의 ‘Downloads’
및 참고사이트 [2]의 ‘Fixes’ 항목을 참고하여 적절한
조치나 업데이트 수행
제품명
|
영향받는 버전
|
최신 버전
|
Bamboo Server and Data Center
|
7.2.9 미만 모든 버전
|
7.2.9
|
8.0.9 미만의 8.0.x 버전
|
8.0.9
|
8.1.8 미만의 8.1.x 버전
|
8.1.8
|
8.2.4 미만의 8.2.x 버전
|
8.2.4
|
Bitbucket Server and Data Center
|
7.6.16 미만 모든 버전
|
7.6.16
|
7.7.x 부터 7.16.x 까지
모든 버전
|
7.17.8
|
7.17.8 미만의 7.17.x
버전
|
모든 7.18.x 버전
|
7.19.5
|
7.19.5 미만의 7.19.x
버전
|
7.20.2 미만의 7.20.x
버전
|
7.20.2
|
7.21.2 미만의 7.21.x
버전
|
7.21.2
|
8.0.0
|
8.0.1
|
8.1.0
|
8.1.1
|
Confluence Server and Data Center
|
7.4.17 미만 모든 버전
|
7.4.17
|
7.5.x 부터 7.12.x 까지
모든 버전
|
7.13.7
|
7.13.7 미만의 7.13.x
버전
|
7.14.3 미만의 7.14.x
버전
|
7.14.3
|
7.15.2 미만의 7.15.x
버전
|
7.15.2
|
7.16.4 미만의 7.16.x
버전
|
7.16.4
|
7.17.4 미만의 7.17.x
버전
|
7.17.4
|
7.18.0
|
7.18.1
|
Crowd Server and Data Center
|
4.3.8 미만 모든 버전
|
4.3.8
|
4.4.2 미만의 4.4.x 버전
|
4.4.2
|
5.0.0
|
5.0.1
|
Crucible
|
4.8.10 미만 모든 버전
|
4.8.10
|
Fisheye
|
Jira Server and Data Center
|
8.13.22 미만 모든 버전
|
8.13.22
|
8.14.x 부터 8.19.x 까지
모든 버전
|
8.20.10
|
8.20.10 미만의
8.20.x 버전
|
모든 8.21.x 버전
|
8.22.4
|
8.22.4 미만의 8.22.x
버전
|
Jira Service Management Server and Data
Center
|
4.13.22 미만 모든 버전
|
4.13.22
|
4.14.x 부터 4.19.x 까지
모든 버전
|
4.20.10
|
4.20.10 미만의
4.20.x 버전
|
모든 4.21.x 버전
|
4.22.4 혹은 4.22.6
|
4.22.4 미만의 4.22.x
버전
|
Questions for Confluence
|
2.7.34, 2.7.35
|
2.7.38
|
3.0.2
|
3.0.5
|
※ Questions
for Confluence는 호환되는 Confluence의 버전을 확인하여 업데이트 수행해야
함
※ Confluence Cloud 사용자는 영향받지 않음
□ 기타 문의사항
o 한국인터넷진흥원 사이버민원센터: 국번없이
118
[참고사이트]
[1] https://confluence.atlassian.com/security/multiple-products-security-advisory-cve-2022-26136-cve-2022-26137-1141493031.html
[2] https://confluence.atlassian.com/doc/questions-for-confluence-security-advisory-2022-07-20-1142446709.html
□ 작성 : 침해사고분석단 취약점분석팀
|