본문 바로가기

아틀라시안/아틀라시안 소식

Crowd CVE-2022-43782 취약점

 

안녕하세요, 디무브 입니다.

현재 아틀라시안 Crowd의 Server 및 Data Center 버전에서 중요한 보안 취약점이 발견되어 안내드립니다.

 

해당 취약점은 허용 목록의 IP에서 암호 검사를 우회하여 Crowd 응용 프로그램으로 인증할 수 있게 되어 인증되지 않은 원격 공격자가 Crowd REST API 경로에 있는 엔드포인트를 호출할 수 있게 된다는 것입니다.

 

이 취약점으로 영향받는 정도는 제품 별로 상이하지만, 치명적인 보안 취약사항이기 때문에 빠른 패치가 필요합니다.

 


영향을 받는 Atlassian Server(DC) 제품

영향을 받는 버전

제품 영향을 받는 버전
Crowd 서버 및 데이터 센터 Crowd 5.0.0 - Crowd 5.0.2Crowd 4.0.0 - Crowd 4.4.3Crowd 3.0.0 - Crowd 3.7.2

해결 방안

아틀라시안에서는 취약점을 개선시킨 Fixed버전으로 업그레이드 할 것을 권고하고 있습니다.

Fixed 버전

제품 Fixed 버전
Crowd 서버 및 데이터 센터 Crowd 5.0.0 - Crowd 5.0.2 >= 5.0.3 or laterCrowd 4.0.0 - Crowd 4.4.3 >= 4.4.4 or laterCrowd 3.0.0 - Crowd 3.7.2 > = 이 버전은 더 이상 사용 가능한 수정 사항이 없습니다. Crowd 4.4.4 또는 5.0.3으로 업그레이드하세요.

 

취약점 완화 방법(임시 방편)

아틀라시안에서는 Fixed버전으로 업그레이드를 권고하고 있으나, 당장 업그레이드를 할 수 없는 경우엔 다음의 임시 완화 방안을 적용하여 사용하실 수 있습니다.

1. 원격 주소 제거

Crowd 제품에서 프로그램의 원격 주소를 제거하거나 유효성 검사를 하여 문제를 일시적으로 완화할 수 있습니다.

원격 주소를 제거하려면:

  1. Crowd에 로그인합니다.
  2. 위쪽 탐색 모음에서 응용 프로그램을 클릭합니다.
  3. 응용 프로그램 보기 화면에서 원격 주소탭을 클릭합니다.
  4. 모든 원격 주소를 제거합니다.

Crowd 3.0.0 이상은 기본적으로 원격 주소가 없어야 합니다.

 

2. 비밀번호 변경

프로그램의 암호를 더 강력한 암호로 변경할 수 있으며 이는 원격 주소를 제거할 수 없는 경우 특히 중요합니다.

암호를 변경하려면,

  1. Crowd에 로그인합니다.
  2. 위쪽 탐색 모음에서 응용 프로그램을 클릭합니다.
  3. 세부 정보 탭에서 암호 변경을 선택합니다.

취약점 정리

취약점 설명인증되지 않은 공격자가 REST API 엔드포인트에 호출이 가능한 취약점
취약점 공개 날짜 2022년 11월 16일 오전 10시 PDT
영향을 받는 제품 Crowd 서버 및 데이터 센터
CVE ID CVE-2022-43782

 

(원문: https://confluence.atlassian.com/crowd/crowd-security-advisory-november-2022-1168866129.html) 

 


관련하여 도움이 필요하실 경우 디무브로 언제든지 문의해주시기 바랍니다.

감사합니다.