아틀라시안/아틀라시안 소식

[Atlassian] 2024년 5월 CVE 보안 취약점 공지

chloefordmove 2024. 5. 24. 15:57

 

안녕하세요, 디무브 입니다.

5월 보안 권고 개요로 취약점이 공개되었습니다.
여러 제품의 취약점이 공개된 만큼 사용 중이신 제품의 버전과 취약점을 확인해 보시길 바랍니다.

 

✔ 요약
아래 제품에 대해 5월에 추가로 35개의 높은 단계의 취약점과 2개의 치명적인 단계의 취약점 이슈 발생

● Bamboo 데이터 센터 및 서버
● Bitbucket 데이터 센터 및 서버
● Confluence 데이터 센터 및 서버
● Crowd 데이터 센터 및 서버
● Jira 데이터 센터 및 서버
● JSM 데이터 센터 및 서버

 

영향을 받는 제품과 버전

※ 공개된 보안 취약점

제품 영향을 받는 버전 Fix 버전 취약점 요약 CVE ID CVSS
심각도
Bamboo 데이터 센터 및 서버
  • 9.5.0~9.5.1
  • 9.4.0~9.4.4
  • 9.3.0 ~ 9.3.6
  • 9.2.1~9.2.13(LTS)
  • 9.1.0~9.1.3
  • 9.0.0~9.0.4
  • 9.6.0 LTS 데이터 센터
  • 9.5.2 ~ 9.5.4 데이터 센터
  • 9.2.14(LTS)
 RCE(원격 코드 실행) org.eclipse.jgit:org.eclipse.jgit Bamboo 데이터 센터 및 서버 CVE-2023-4759 8.8 높음
Bitbucket 데이터 센터 및 서버
  • 8.19.0~8.19.2(LTS)
  • 8.18.0 ~ 8.18.1
  • 8.17.0 ~ 8.17.2
  • 8.16.0 ~ 8.16.4
  • 8.15.0 ~ 8.15.5
  • 8.14.0 ~ 8.14.6
  • 8.13.0 ~ 8.13.6
  • 8.12.0~8.12.6
  • 8.11.0 ~ 8.11.6
  • 8.10.0 ~ 8.10.6
  • 8.9.0~8.9.13(LTS)
  • 8.8.0~8.8.7
  • 8.7.0~8.7.5
  • 8.6.0~8.6.4
  • 8.5.0~8.5.4
  • 8.4.0~8.4.4
  • 8.3.0~8.3.4
  • 8.2.0~8.2.4
  • 8.1.0~8.1.5
  • 8.0.1~8.0.5
  • 8.19.3(LTS) 데이터 센터
  • 8.9.14(LTS)
 부적절한 인증 org.springframework.security:spring-security-core Bitbucket 데이터 센터 및 서버 CVE-2024-22257 8.2 높음
SSRF(서버측 요청 위조) org.springframework:spring-web Bitbucket 데이터 센터 및 서버 CVE-2024-22262 8.1 높음
Confluence 데이터 센터 및 서버
  • 8.9.0
  • 8.8.0 ~ 8.8.1
  • 8.7.1 ~ 8.7.2
  • 8.6.0 ~ 8.6.2
  • 8.5.0~8.5.8(LTS)
  • 8.4.0~8.4.5
  • 8.3.0~8.3.4
  • 8.2.0~8.2.3
  • 8.1.0~8.1.4
  • 8.0.0~8.0.4
  • 7.20.0 ~ 7.20.3
  • 7.19.0~7.19.21(LTS)
  • 8.9.1 데이터 센터
  • 8.5.9(LTS) 권장
  • 7.19.22(LTS)
 SQLi(SQL 주입) org.postgresql:postgresql Confluence 데이터 센터 및 서버 CVE-2024-1597 9.8 치명적
Confluence 데이터 센터 및 서버의 RCE(원격 코드 실행) CVE-2024-21683 8.3 높음
Confluence 데이터 센터 및 서버의 부적절한 인증com.hazelcast:hazelcast CVE-2023-45859 7.6 높음
DoS org.apache.tomcat:tomcat-websocket Confluence 데이터 센터 및 서버 CVE-2024-23672 7.5 높음
DoS org.apache.tomcat:tomcat-coyote Confluence 데이터 센터 및 서버의 CVE-2024-24549 7.5 높음
Crowd 데이터 센터 및 서버
  • 5.2.0~5.2.4
  • 5.1.0~5.1.9
  • 5.0.1~5.0.11
  • 5.3.0~5.3.1 데이터 센터
 com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-11113 8.8 높음
주입 com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-11112 8.8 높음
주입 com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-11111 8.8 높음
주입 com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-10969 8.8 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-10968 8.8 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-10673 8.8 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-10672 8.8 높음
부적절한 인증org.springframework.security:spring-security-core 크라우드 데이터 센터 및 서버 CVE-2024-22257 8.2 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-36180 8.1 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-36184 8.1 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-36188 8.1 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-36181 8.1 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-36182 8.1 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-24616 8.1 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-35728 8.1 높음
com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2020-36179 8.1 높음
잘못된 보안 구성 org.eclipse.jetty:jetty-server 크라우드 데이터 센터 및 서버 CVE-2017-7656 7.5 높음
DoS org.apache.struts:struts2-core 크라우드 데이터 센터 및 서버 CVE-2023-34396 7.5 높음
DoS org.apache.struts:struts2-core 크라우드 데이터 센터 및 서버 CVE-2023-41835 7.5 높음
정보 공개org.eclipse.jetty:jetty-util 크라우드 데이터 센터 및 서버 CVE-2017-9735 7.5 높음
DoS com.fasterxml.jackson.core:jackson-databind 크라우드 데이터 센터 및 서버 CVE-2022-42003 7.5 높음
DoS org.eclipse.jetty:jetty-io 크라우드 데이터 센터 및 서버 CVE-2021-28165 7.5 높음
Jira 데이터 센터 및 서버
  • 9.14.0 ~ 9.14.1
  • 9.13.0 ~ 9.13.1
  • 9.12.0~9.12.6(LTS)
  • 9.11.0 ~ 9.11.3
  • 9.10.0 ~ 9.10.2
  • 9.9.0~9.9.2
  • 9.8.0~9.8.2
  • 9.7.0~9.7.2
  • 9.6.0
  • 9.5.0~9.5.1
  • 9.4.0~9.4.19(LTS)
  • 9.3.0 ~ 9.3.3
  • 9.2.0~9.2.1
  • 9.1.0 ~ 9.1.1
  • 9.0.0
  • 9.15.2 데이터 센터
  • 9.12.7~9.12.8(LTS)
  • 9.4.20~9.4.21(LTS)
 SQLi(SQL 주입) org.postgresql:postgresql Jira Software 데이터 센터 및 서버 CVE-2024-1597 9.8 치명적
부적절한 인증 org.springframework.security:spring-security-core Jira Software 데이터 센터 및 서버 CVE-2024-22257 8.2 높음
DoS Jira Software 데이터 센터 및 서버의 com.google.code.gson:gson CVE-2022-25647 7.5 높음
DoS com.thoughtworks.xstream:xstream Jira Software 데이터 센터 및 서버 CVE-2022-41966 7.5 높음
DoS org.apache.tomcat:tomcat-websocket Jira Software 데이터 센터 및 서버 CVE-2024-23672 7.5 높음
Jira Service Management 데이터 센터 및 서버
  • 5.14.0 ~ 5.14.1
  • 5.13.0 ~ 5.13.1
  • 5.12.0~5.12.7(LTS)
  • 5.11.0 ~ 5.11.3
  • 5.10.0 ~ 5.10.2
  • 5.9.0 ~ 5.9.2
  • 5.8.0 ~ 5.8.2
  • 5.7.0~5.7.2
  • 5.6.0
  • 5.5.0 ~ 5.5.1
  • 5.4.0~5.4.20(LTS)
  • 5.3.0~5.3.3
  • 5.2.0 ~ 5.2.1
  • 5.1.0 ~ 5.1.1
  • 5.0.0
  • 5.15.2
  • 5.12.7~5.12.8(LTS)
  • 5.4.21(LTS)
 부적절한 인증 org.springframework.security:spring-security-core Jira 서비스 관리 데이터 센터 및 서버 CVE-2024-22257 8.2 높음
DoS(서비스 거부) Software.amazon.ion:ion-java Jira Service Management 데이터 센터 및 서버 CVE-2024-21634 7.5 높음

 

 

치명적인 보안 취약점 (CVSS 9.8)

CVE-ID : CVE-2024-1597

CVE-2024-1597 취약점은 Atlassian 취약점이 아닌 종속성에 대한 취약점 입니다.

 

Confluence

  • 8.9.0
  • 8.8.0 ~ 8.8.1
  • 8.7.1 ~ 8.7.2
  • 8.6.0 ~ 8.6.2
  • 8.5.0~8.5.8(LTS)
  • 8.4.0~8.4.5
  • 8.3.0~8.3.4
  • 8.2.0~8.2.3
  • 8.1.0~8.1.4
  • 8.0.0~8.0.4
  • 7.20.0 ~ 7.20.3
  • 7.19.0~7.19.21(LTS)

Jira

  • 9.14.0 ~ 9.14.1
  • 9.13.0 ~ 9.13.1
  • 9.12.0~9.12.6(LTS)
  • 9.11.0 ~ 9.11.3
  • 9.10.0 ~ 9.10.2
  • 9.9.0~9.9.2
  • 9.8.0~9.8.2
  • 9.7.0~9.7.2
  • 9.6.0
  • 9.5.0~9.5.1
  • 9.4.0~9.4.19(LTS)
  • 9.3.0 ~ 9.3.3
  • 9.2.0~9.2.1
  • 9.1.0 ~ 9.1.1
  • 9.0.0

 

내용 요약

해당 취약점은 org.postgresql:postgresql의 종속성에서 발견된 취약점 입니다.
PreferQueryMode=SIMPLE을 사용하는 경우 SQL을 주입하여 인증되지 않은 공격자가 데이터베이스를 취약한 환경에 노출 시킬 수 있습니다.

 

 

관련하여 도움이 필요하실 경우 디무브로 언제든지 문의해주시기 바랍니다.
감사합니다.

 

저작자표시 비영리 변경금지