[Atlassian] 2024년 5월 CVE 보안 취약점 공지

 

안녕하세요, 디무브 입니다.

5월 보안 권고 개요로 취약점이 공개되었습니다.
여러 제품의 취약점이 공개된 만큼 사용 중이신 제품의 버전과 취약점을 확인해 보시길 바랍니다.

 

✔ 요약
아래 제품에 대해 5월에 추가로 35개의 높은 단계의 취약점과 2개의 치명적인 단계의 취약점 이슈 발생

● Bamboo 데이터 센터 및 서버
● Bitbucket 데이터 센터 및 서버
● Confluence 데이터 센터 및 서버
● Crowd 데이터 센터 및 서버
● Jira 데이터 센터 및 서버
● JSM 데이터 센터 및 서버

 

영향을 받는 제품과 버전

※ 공개된 보안 취약점

제품	영향을 받는 버전	Fix 버전	취약점 요약	CVE ID	CVSS 심각도
Bamboo 데이터 센터 및 서버	9.5.0~9.5.1 9.4.0~9.4.4 9.3.0 ~ 9.3.6 9.2.1~9.2.13(LTS) 9.1.0~9.1.3 9.0.0~9.0.4	9.6.0 LTS 데이터 센터 9.5.2 ~ 9.5.4 데이터 센터 9.2.14(LTS)	RCE(원격 코드 실행) org.eclipse.jgit:org.eclipse.jgit Bamboo 데이터 센터 및 서버	CVE-2023-4759	8.8 높음
Bitbucket 데이터 센터 및 서버	8.19.0~8.19.2(LTS) 8.18.0 ~ 8.18.1 8.17.0 ~ 8.17.2 8.16.0 ~ 8.16.4 8.15.0 ~ 8.15.5 8.14.0 ~ 8.14.6 8.13.0 ~ 8.13.6 8.12.0~8.12.6 8.11.0 ~ 8.11.6 8.10.0 ~ 8.10.6 8.9.0~8.9.13(LTS) 8.8.0~8.8.7 8.7.0~8.7.5 8.6.0~8.6.4 8.5.0~8.5.4 8.4.0~8.4.4 8.3.0~8.3.4 8.2.0~8.2.4 8.1.0~8.1.5 8.0.1~8.0.5	8.19.3(LTS) 데이터 센터 8.9.14(LTS)	부적절한 인증 org.springframework.security:spring-security-core Bitbucket 데이터 센터 및 서버	CVE-2024-22257	8.2 높음
			SSRF(서버측 요청 위조) org.springframework:spring-web Bitbucket 데이터 센터 및 서버	CVE-2024-22262	8.1 높음
Confluence 데이터 센터 및 서버	8.9.0 8.8.0 ~ 8.8.1 8.7.1 ~ 8.7.2 8.6.0 ~ 8.6.2 8.5.0~8.5.8(LTS) 8.4.0~8.4.5 8.3.0~8.3.4 8.2.0~8.2.3 8.1.0~8.1.4 8.0.0~8.0.4 7.20.0 ~ 7.20.3 7.19.0~7.19.21(LTS)	8.9.1 데이터 센터 8.5.9(LTS) 권장 7.19.22(LTS)	SQLi(SQL 주입) org.postgresql:postgresql Confluence 데이터 센터 및 서버	CVE-2024-1597	9.8 치명적
			Confluence 데이터 센터 및 서버의 RCE(원격 코드 실행)	CVE-2024-21683	8.3 높음
			Confluence 데이터 센터 및 서버의 부적절한 인증com.hazelcast:hazelcast	CVE-2023-45859	7.6 높음
			DoS org.apache.tomcat:tomcat-websocket Confluence 데이터 센터 및 서버	CVE-2024-23672	7.5 높음
			DoS org.apache.tomcat:tomcat-coyote Confluence 데이터 센터 및 서버의	CVE-2024-24549	7.5 높음
Crowd 데이터 센터 및 서버	5.2.0~5.2.4 5.1.0~5.1.9 5.0.1~5.0.11	5.3.0~5.3.1 데이터 센터	com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-11113	8.8 높음
			주입 com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-11112	8.8 높음
			주입 com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-11111	8.8 높음
			주입 com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-10969	8.8 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-10968	8.8 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-10673	8.8 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-10672	8.8 높음
			부적절한 인증org.springframework.security:spring-security-core 크라우드 데이터 센터 및 서버	CVE-2024-22257	8.2 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-36180	8.1 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-36184	8.1 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-36188	8.1 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-36181	8.1 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-36182	8.1 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-24616	8.1 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-35728	8.1 높음
			com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2020-36179	8.1 높음
			잘못된 보안 구성 org.eclipse.jetty:jetty-server 크라우드 데이터 센터 및 서버	CVE-2017-7656	7.5 높음
			DoS org.apache.struts:struts2-core 크라우드 데이터 센터 및 서버	CVE-2023-34396	7.5 높음
			DoS org.apache.struts:struts2-core 크라우드 데이터 센터 및 서버	CVE-2023-41835	7.5 높음
			정보 공개org.eclipse.jetty:jetty-util 크라우드 데이터 센터 및 서버	CVE-2017-9735	7.5 높음
			DoS com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버	CVE-2022-42003	7.5 높음
			DoS org.eclipse.jetty:jetty-io 크라우드 데이터 센터 및 서버	CVE-2021-28165	7.5 높음
Jira 데이터 센터 및 서버	9.14.0 ~ 9.14.1 9.13.0 ~ 9.13.1 9.12.0~9.12.6(LTS) 9.11.0 ~ 9.11.3 9.10.0 ~ 9.10.2 9.9.0~9.9.2 9.8.0~9.8.2 9.7.0~9.7.2 9.6.0 9.5.0~9.5.1 9.4.0~9.4.19(LTS) 9.3.0 ~ 9.3.3 9.2.0~9.2.1 9.1.0 ~ 9.1.1 9.0.0	9.15.2 데이터 센터 9.12.7~9.12.8(LTS) 9.4.20~9.4.21(LTS)	SQLi(SQL 주입) org.postgresql:postgresql Jira Software 데이터 센터 및 서버	CVE-2024-1597	9.8 치명적
			부적절한 인증 org.springframework.security:spring-security-core Jira Software 데이터 센터 및 서버	CVE-2024-22257	8.2 높음
			DoS Jira Software 데이터 센터 및 서버의 com.google.code.gson:gson	CVE-2022-25647	7.5 높음
			DoS com.thoughtworks.xstream:xstream Jira Software 데이터 센터 및 서버	CVE-2022-41966	7.5 높음
			DoS org.apache.tomcat:tomcat-websocket Jira Software 데이터 센터 및 서버	CVE-2024-23672	7.5 높음
Jira Service Management 데이터 센터 및 서버	5.14.0 ~ 5.14.1 5.13.0 ~ 5.13.1 5.12.0~5.12.7(LTS) 5.11.0 ~ 5.11.3 5.10.0 ~ 5.10.2 5.9.0 ~ 5.9.2 5.8.0 ~ 5.8.2 5.7.0~5.7.2 5.6.0 5.5.0 ~ 5.5.1 5.4.0~5.4.20(LTS) 5.3.0~5.3.3 5.2.0 ~ 5.2.1 5.1.0 ~ 5.1.1 5.0.0	5.15.2 5.12.7~5.12.8(LTS) 5.4.21(LTS)	부적절한 인증 org.springframework.security:spring-security-core Jira 서비스 관리 데이터 센터 및 서버	CVE-2024-22257	8.2 높음
			DoS(서비스 거부) Software.amazon.ion:ion-java Jira Service Management 데이터 센터 및 서버	CVE-2024-21634	7.5 높음

 

 

치명적인 보안 취약점 (CVSS 9.8)

CVE-ID : CVE-2024-1597

CVE-2024-1597 취약점은 Atlassian 취약점이 아닌 종속성에 대한 취약점 입니다.

 

Confluence

• 8.9.0
• 8.8.0 ~ 8.8.1
• 8.7.1 ~ 8.7.2
• 8.6.0 ~ 8.6.2
• 8.5.0~8.5.8(LTS)
• 8.4.0~8.4.5
• 8.3.0~8.3.4
• 8.2.0~8.2.3
• 8.1.0~8.1.4
• 8.0.0~8.0.4
• 7.20.0 ~ 7.20.3
• 7.19.0~7.19.21(LTS)

Jira

• 9.14.0 ~ 9.14.1
• 9.13.0 ~ 9.13.1
• 9.12.0~9.12.6(LTS)
• 9.11.0 ~ 9.11.3
• 9.10.0 ~ 9.10.2
• 9.9.0~9.9.2
• 9.8.0~9.8.2
• 9.7.0~9.7.2
• 9.6.0
• 9.5.0~9.5.1
• 9.4.0~9.4.19(LTS)
• 9.3.0 ~ 9.3.3
• 9.2.0~9.2.1
• 9.1.0 ~ 9.1.1
• 9.0.0

 

내용 요약

해당 취약점은 org.postgresql:postgresql의 종속성에서 발견된 취약점 입니다.
PreferQueryMode=SIMPLE을 사용하는 경우 SQL을 주입하여 인증되지 않은 공격자가 데이터베이스를 취약한 환경에 노출 시킬 수 있습니다.

 

---

 

관련하여 도움이 필요하실 경우 디무브로 언제든지 문의해주시기 바랍니다.
감사합니다.