top of page
搜尋
作家相片Linktech
2023年12月6日讀畢需時 2 分鐘

【Linktech 資安神隊友】RCE Vulnerability in Atlassian multiple products

Atlassian 已緊急公佈了多個關於 Atlassian 系列產品之相關 CVE 漏洞的文章《CVE-2022-1471 》《CVE-2023-22522》《CVE-2023-22524 CVE-2023-22523,內容涵蓋到該產品下方之版本,如是有使用下方產品之客戶請注意


涵蓋範圍非常巨大,請客戶一定要確認,如確認貴司產品 ( 裡頭包含數套 Plugin ) 位於下方版本之中,請務必詳閱後方之漏洞說明以及解決方案

Product

Affected Versions

Bitbucket Data Center and Server

  • 7.17.x

  • 7.18.x

  • 7.19.x

  • 7.20.x

  • 7.21.0

  • 7.21.1

  • 7.21.2

  • 7.21.3

  • 7.21.4

  • 7.21.5

  • 7.21.6

  • 7.21.7

  • 7.21.8

  • 7.21.9

  • 7.21.10

  • 7.21.11

  • 7.21.12

  • 7.21.13

  • 7.21.14

  • 7.21.15

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.x

  • 8.4.x

  • 8.5.x

  • 8.6.x

  • 8.7.x

  • 8.8.0

  • 8.8.1

  • 8.8.2

  • 8.8.3

  • 8.8.4

  • 8.8.5

  • 8.8.6

  • 8.9.0

  • 8.9.1

  • 8.9.2

  • 8.9.3

  • 8.10.0

  • 8.10.1

  • 8.10.2

  • 8.10.3

  • 8.11.0

  • 8.11.1

  • 8.11.2

  • 8.12.0

Confluence Data Center and Server

  • 4.0.0

  • 6.13.x

  • 6.14.x

  • 6.15.x

  • 7.0.x

  • 7.1.x

  • 7.2.x

  • 7.3.x

  • 7.4.x

  • 7.5.x

  • 7.6.x

  • 7.7.x

  • 7.8.x

  • 7.9.x

  • 7.10.x

  • 7.11.x

  • 7.12.x

  • 7.13.0

  • 7.13.1

  • 7.13.2

  • 7.13.3

  • 7.13.4

  • 7.13.5

  • 7.13.6

  • 7.13.7

  • 7.13.8

  • 7.13.9

  • 7.13.10

  • 7.13.11

  • 7.13.12

  • 7.13.13

  • 7.13.14

  • 7.13.15

  • 7.13.16

  • 7.13.17

  • 7.14.x

  • 7.15.x

  • 7.16.x

  • 7.17.x

  • 7.18.x

  • 7.19.0

  • 7.19.1

  • 7.19.2

  • 7.19.3

  • 7.19.4

  • 7.19.5

  • 7.19.6

  • 7.19.7

  • 7.19.8

  • 7.19.9

  • 7.20.x

  • 8.0.x

  • 8.1.x

  • 8.2.x

  • 8.3.0

  • 8.6.0

Jira Core Data Center and Server

Jira Software Data Center and Server

  • 9.4.0

  • 9.4.1

  • 9.4.2

  • 9.4.3

  • 9.4.4

  • 9.4.5

  • 9.4.6

  • 9.4.7

  • 9.4.8

  • 9.4.9

  • 9.4.10

  • 9.4.11

  • 9.4.12

  • 9.5.x

  • 9.6.x

  • 9.7.x

  • 9.8.x

  • 9.9.x

  • 9.10.x

  • 9.11.0

  • 9.11.1

Jira Service Management Data Center and Server

  • 5.4.0

  • 5.4.1

  • 5.4.2

  • 5.4.3

  • 5.4.4

  • 5.4.5

  • 5.4.6

  • 5.4.7

  • 5.4.8

  • 5.4.9

  • 5.4.10

  • 5.4.11

  • 5.4.12

  • 5.5.x

  • 5.6.x

  • 5.7.x

  • 5.8.x

  • 5.9.x

  • 5.10.x

  • 5.11.0

  • 5.11.1

Automation for Jira (A4J)

  • 9.0.1

  • 9.0.0

  • <= 8.2.2

Atlassian Companion App for MacOS

  • All versions (MacOS) up to but not including 2.0.0 are affected by the vulnerability.

Confluence Cloud Migration App (CCMA)

  • ​Plugin versions lower than 3.4.0

​Jira Service Management Cloud Assets Discovery

  • ​Insight Discovery 1.0 - 3.1.3

  • Assets Discovery 3.1.4 - 3.1.7

  • Assets Discovery 3.1.8-cloud - 3.1.11-cloud

Jira Service Management Data Center and Server Assets Discovery

  • Insight Discovery 1.0 - 3.1.7

  • Assets Discovery 3.1.9 - 3.1.11

  • Assets Discovery 6.0.0 - 6.1.14, 6.1.14-jira-dc-8

漏洞摘要:

Atlassian 已注意到多個 CVE 漏洞會影響到上方所列之 Atlassian 產品,漏洞資訊分別為:

  1. CVE-2022-1471 - SnakeYAML library RCE Vulnerability Impacts Multiple Products

  2. CVE-2023-22522 - RCE Vulnerability in Confluence Data Center and Server

  3. CVE-2023-22524 - RCE Vulnerability in Atlassian Companion App for MacOS

  4. CVE-2023-22523 - RCE Vulnerability in Assets Discovery (stand-alone app)

基本此次漏洞皆為 RCE 漏洞 (RCE, Request for Continued Examination) 全名為遠端程式碼執行,此安全漏洞,外部攻擊者可在組織的電腦或網路上執行惡意程式碼的攻擊。執行攻擊者控制程式碼的能力可用於多種用途,包括部署其他惡意程式碼或竊取敏感性資料。


解決方案:

根據 Atlassian 嚴重性級別中發佈的等級,Atlassian 將此漏洞的嚴重性級別評為 嚴重 CVSS 9以上,當貴司環境處於上方指定產品就有可能會受到此漏洞所影響,請盡速做升級動作,建議升級到下方指定版本:

Products

Action

Bitbucket Data Center and Server

Patch to the following fixed versions or later

  • 7.21.16 (LTS)

  • 8.10.4

  • 8.11.3

  • 8.12.1

  • 8.13.0

  • 8.8.7

  • 8.9.4 (LTS)

Confluence Data Center and Server

Patch to the following fixed versions or later

  • 7.19.17 (LTS)

  • 8.4.5

  • 8.5.4 (LTS)

  • 8.6.2

  • 8.7.0

Jira Core Data Center and Server

Jira Software Data Center and Server

Patch to the following fixed versions or later

  • 9.11.2

  • 9.12.0 (LTS)

  • 9.4.14 (LTS)

Jira Service Management Data Center and Server

Patch to the following fixed versions or later

  • 5.11.2

  • 5.12.0 (LTS)

  • 5.4.14 (LTS)

P.S. 注意 Jira Core 版本也必須要同步升級

Confluence Data Center and Confluence Server

  • 8.3.3 or later

  • 8.4.3 or later

  • 8.5.2 (Long Term Support release) or later


Plugins

Action

Automation for Jira (A4J) Marketplace App

Automation for Jira (A4J) - Server Lite Marketplace App

Patch to the following fixed versions or later

  • 9.0.2

  • 8.2.4

See breaking changes in A4J 9.0+ for more info.

Confluence Cloud Migration App (CCMA)

Patch to the following fixed version or later

  • 3.4.0

Jira Service Management Cloud Assets Discovery

Patch to the following fixed version or later

  • Assets Discovery 3.2.0-cloud

Jira Service Management Data Center and Server Assets Discovery

Patch to the following fixed version or later

  • Assets Discovery 6.2.0

緩解方法:

如果短時間內沒有辦法進行升級,您可以通過下方方法來暫時緩解此問題:

  1. 備份您的環境,已應對可能遭受的危害

  2. 上方列出之產品應限制外部網路連結,直到您可以升級為止。

但再次提醒如貴司當前環境為漏洞影響之範圍內,最終應該都請盡速做主程式的升級,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。


Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現Atlassian系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。


資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。


298 次查看0 則留言

Comments

bottom of page