본문 바로가기
아틀라시안/아틀라시안 소식

[Atlassian] 2023년 12월 CVE 보안 취약점 공지

by chloefordmove 2023. 12. 7.

안녕하세요, 디무브 입니다.
아틀라시안의 12월 보안 권고 개요를 통하여 공개된 취약점을 공지드립니다.

CVE 코드별 영향을 받는 제품 리스트와 함께 대처 방안을 안내드립니다. 여러 제품의 취약점이 공개된 만큼 사용 중이신 제품의 버전과 취약점을 확인하시길 권고드립니다.

 

 

CVE 코드 / 영향을 받는 제품

코드 영향을 받는 제품
CVE-2022-1471
  • Automation for Jira app (including Server Lite edition)
  • Bitbucket Data Center
  • Bitbucket Server
  • Confluence Data Center
  • Confluence Server
  • Confluence Cloud Migration App
  • Jira Core Data Center
  • Jira Core Server
  • Jira Service Management Data Center
  • Jira Service Management Server
  • Jira Software Data Center
  • Jira Software Server
CVE-2023-22523
Assets Discovery for 
  • Jira Service Management Cloud
  • Jira Service Management Server
  • Jira Service Management Data Center
CVE-2023-22524 Atlassian Companion App for MacOS
CVE-2023-22522
  • Confluence Data Center
  • Confluence Server

 

 

CVE-2022-1471

보안 취약점 요약
아래 데이터 센터 및 서버 제품은 SnakeYAML 라이브러리를 사용한 RCE(원격 코드 실행)에 취약 할 수 있습니다.
🔵 Atlassian Cloud 사이트는 이 취약점의 영향을 받지 않습니다.

 

영향을 받는 버전

제품 영향을 받는 버전
Automation for Jira(A4J) (Add-on)

Automation for Jira(A4J) - Server Lite (add-on)
  • 9.0.1
  • 9.0.0
  • <= 8.2.2
Bitbucket Data Center and Server
  • 7.17.x
  • 7.18.x
  • 7.19.x
  • 7.20.x
  • 7.21.0
  • 7.21.1
  • 7.21.2
  • 7.21.3
  • 7.21.4
  • 7.21.5
  • 7.21.6
  • 7.21.7
  • 7.21.8
  • 7.21.9
  • 7.21.10
  • 7.21.11
  • 7.21.12
  • 7.21.13
  • 7.21.14
  • 7.21.15
  • 8.0.x
  • 8.1.x
  • 8.2.x
  • 8.3.x
  • 8.4.x
  • 8.5.x
  • 8.6.x
  • 8.7.x
  • 8.8.0
  • 8.8.1
  • 8.8.2
  • 8.8.3
  • 8.8.4
  • 8.8.5
  • 8.8.6
  • 8.9.0
  • 8.9.1
  • 8.9.2
  • 8.9.3
  • 8.10.0
  • 8.10.1
  • 8.10.2
  • 8.10.3
  • 8.11.0
  • 8.11.1
  • 8.11.2
  • 8.12.0
Confluence Cloud Migration App (CCMA)
  • Plugin versions lower than 3.4.0.
Jira Core Data Center and Server

Jira Software Data Center and Server
  • 9.4.0
  • 9.4.1
  • 9.4.2
  • 9.4.3
  • 9.4.4
  • 9.4.5
  • 9.4.6
  • 9.4.7
  • 9.4.8
  • 9.4.9
  • 9.4.10
  • 9.4.11
  • 9.4.12
  • 9.5.x
  • 9.6.x
  • 9.7.x
  • 9.8.x
  • 9.9.x
  • 9.10.x
  • 9.11.0
  • 9.11.1
Jira Service Management Data Center and Server
  • 5.4.0
  • 5.4.1
  • 5.4.2
  • 5.4.3
  • 5.4.4
  • 5.4.5
  • 5.4.6
  • 5.4.7
  • 5.4.8
  • 5.4.9
  • 5.4.10
  • 5.4.11
  • 5.4.12
  • 5.5.x
  • 5.6.x
  • 5.7.x
  • 5.8.x
  • 5.9.x
  • 5.10.x
  • 5.11.0
  • 5.11.1

 

취약점 해결 방법 / 대안

제품 해결 방법 대안
Automation for Jira(A4J)

Automation for Jira(A4J) - Server Lite
다음 버전으로 패치
  • 9.0.2
  • 8.2.4
 UPM (Universal Plugin Manager)을 통해 업그레이드
Bitbucket Data Center and Server
다음 버전 이상으로 업그레이드
  • 7.21.16(LTS)
  • 8.8.7
  • 8.9.4(LTS)
  • 8.10.4 
  • 8.11.3 
  • 8.12.1 
  • 8.13.0
  • 8.14.0
  • 8.15.0(데이터 센터만 해당)
  • 8.16.0(데이터 센터만 해당)
 별도의 대안이 없는 관계로, 제시된 '해결 방법'에 따른 업그레이드 권고
Confluence Data Center and Server
다음 버전 이상으로 업그레이드
  • 7.19.17(LTS) 
  • 8.4.5
  • 8.5.4(LTS)
  • 8.6.2(데이터 센터만 해당)
  • 8.7.1(데이터 센터만 해당)
 별도의 대안이 없는 관계로, 제시된 '해결 방법'에 따른 업그레이드 권고
Confluence 클라우드 마이그레이션 앱(CCMA)
다음 버전 이상으로 업그레이드
  • 3.4.0
 별도의 대안이 없는 관계로, 제시된 '해결 방법'에 따른 업그레이드 권고
Jira Core Data Center and Server

Jira Software Data Center and Server
다음 버전 이상으로 업그레이드
  • 9.11.2
  • 9.12.0(LTS)
  • 9.4.14(LTS)
 제품 인스턴스를 업그레이드할 수 없는 경우 UPM(Universal Plugin Manager)을 통해 Automation for Jira(A4J) 앱을 업그레이드
Jira Service Management Data Center and Server
다음 버전 이상으로 업그레이드
  • 5.11.2 
  • 5.12.0(LTS)
  • 5.4.14(LTS)
 제품 인스턴스를 업그레이드할 수 없는 경우 UPM(Universal Plugin Manager)을 통해 Automation for Jira(A4J) 앱을 업그레이드

 

 

CVE-2022-22523

보안 취약점 요약
Assets Discovery 에이전트를 대상으로 공격자는 RCE(원격 코드 실행)를 할 수 있습니다.

 

영향을 받는 버전

제품 영향을 받는 버전
Jira Service Management Cloud (Assets Discovery)
  • Insight Discovery 1.0 - 3.1.3
  • Assets Discovery 3.1.4 - 3.1.7
  • Assets Discovery 3.1.8-cloud - 3.1.11-cloud
Jira Service Management Data Center and Server (Assets Discovery)
  • Insight Discovery 1.0 - 3.1.7
  • Assets Discovery 3.1.9 - 3.1.11
  • Assets Discovery 6.0.0 - 6.1.14, 6.1.14-jira-dc-8

 

취약점 해결 방법 / 임시 조치

🔴 '임시 조치'의 경우, 취약점 '해결 방법'을 대안할 수 없습니다. '임시 조치' 후에는 빠른 시일 내에 '해결 방법'을 진행하시길 권고드립니다. 

제품 해결 방법 임시 조치
Jira Service Management Cloud (Assets Discovery)
다음 버전 이상으로 업그레이드
  • Assets Discovery 3.2.0-cloud
 Assets Discovery를 즉시 제거할 수 없는 경우 기본 포트(51337)를 차단
Jira Service Management Data Center and Server (Assets Discovery)
다음 버전 이상으로 업그레이드
  • Assets Discovery 6.2.0
 Assets Discovery를 즉시 제거할 수 없는 경우 기본 포트(51337)를 차단

 

 

CVE-2022-22524

보안 취약점 요약
MacOS 전용 Atlassian Companion App의 경우 모든 버전이 취약점을 가집니다.
WebSocket을 활용하여 차단목록을 우회하고, Gatekeeper를 통한 코드 실행을 허용할 수 있습니다.
🔵 Atlassian Companion App은 선택적 설치 어플리케이션 입니다.

 

영향을 받는 버전

제품 영향을 받는 버전
Atlassian Companion App for MacOS 2.0.0을 제외한 모든 버전

 

취약점 해결 방법 / 대안

제품 해결 방법 대안
Atlassian Companion App for MacOS
2.0.0 이상으로 버전 업그레이드

 완전히 제거하여 완화

 

 

CVE-2022-22522

보안 취약점 요약
템플릿을 삽입 하여 Confluence 페이지에 RCE(원격 코드 실행)을 가할 수 있습니다.

 

영향을 받는 버전

제품 영향을 받는 버전
Confluence Data Center and Server
  • 4.xx
  • 5.xx
  • 6.xx
  • 7.xx
  • 8.0.x
  • 8.1.x
  • 8.2.x
  • 8.3.x
  • 8.4.0
  • 8.4.1
  • 8.4.2
  • 8.4.3
  • 8.4.4
  • 8.5.0
  • 8.5.1
  • 8.5.2
  • 8.5.3
Confluence Data Center
  • 8.6.0
  • 8.6.1

 

취약점 해결 방법 / 임시 조치

🔴 '임시 조치'의 경우, 취약점 '해결 방법'을 대안할 수 없습니다. '임시 조치' 후에는 빠른 시일 내에 '해결 방법'을 진행하시길 권고드립니다. 

제품 해결 방법 임시 조치
Confluence Data Center and Server
  • 7.19.17(LTS)
  • 8.4.5
  • 8.5.4(LTS)
  1. 인스턴스 백업
  2. 패치를 적용할 수 있을 때까지 인터넷에서 인스턴스 제거
Confluence Data Center
  • 8.6.2 이상(데이터 센터만 해당)
  • 8.7.1 이상(데이터 센터만 해당)
  1. 인스턴스 백업
  2. 패치를 적용할 수 있을 때까지 인터넷에서 인스턴스 제거

 

참고 <December 2023: Security Advisories Overview>

 

관련하여 도움이 필요하실 경우 디무브로 언제든지 문의해주시기 바랍니다.
감사합니다.

 

 

저작자표시 비영리 변경금지

'아틀라시안 > 아틀라시안 소식' 카테고리의 다른 글

2024년 2월 15일 서버 지원 종료 : 지금 바로 마이그레이션 하세요!  (0) 2024.02.07
Atlassian Data Center 라이선스 소비자가 인상 안내 (2024.02.15~)  (0) 2024.01.16
[Atlassian] 2023년 10월, 아틀라시안 클라우드 가격 인상 안내  (0) 2023.09.21
이제 아틀라시안 지라도 다크모드를 지원합니다!  (0) 2023.08.10
시각적 협업툴 whiteboards 베타 버전이 출시되었습니다!  (0) 2023.08.04

관련글

티스토리툴바