Jira Service Management Data Center示意圖,圖片來源/Atlassian

好不容易修復Jira與Confluence等雲端服務,Atlassian本周又發出安全公告,修補Jira元件一個重大的驗證繞過漏洞。

這項編號CVE-2022-0540的漏洞為Jira及Jira Service Management的Web驗證框架Seraph內的驗證繞過漏洞,可讓未獲授權的攻擊者傳送惡意HTTP呼叫繞過外掛模組WebWork action的驗證以執行指令。Atlassian將本漏洞嚴重等級列為重大(critical)。

這項漏洞影響本地部署的Jira產品包括Jira Core Server、Jira Software Server及Jira Software Data Center(8.13.18以前、8.14.x到8.20.6及8.21.x版);Jira Service Management Versions(4.13.18以前、4.14.x到4.20.6及4.21.x版)。

值得注意的是,這項漏洞雖位於Jira核心,實則影響2個App,開採條件是這些App的組態不當,包括Webwork1 action namespace level指定roles-required、在action level卻未指定,同時該Webwork1 action沒有做其他驗證。

受影響的App包括Insight – Asset Management,包括Atlassian Marketplace 下載的8.10.0以前版本,及Jira Service Management Server 和 Data Center 4.15.0(以後版本)搭載的版本。另一個是Mobile Plugin for Jira,搭載於Jira Server、Jira Software Server、Data Center 8.0.0(版本以後)及Jira Service Management Server、Data Center 4.0.0(以後版本)。

不過Atlassian指出,Jira Cloud及Jira Serve Management Cloud都不受影響。

Atlassian已釋出最新版Jira及Jira Service Management,呼籲用戶儘速更新到最新版本

上周Atlassian才在2星期的搶修下,使本月初斷線的網站恢復上線。受影響的雲端服務涵括Jira Software、Confluence、Bitbucket、Trello雲端版等出現網站停機情況。上周Atlassian說明原因並非網路攻擊,而是兩個維護團隊溝通不良及使用的操作指令錯誤,導致近400網站資料被刪。根據該公司網站 ,除Atlassian Develops服務及狀態頁外,其他對用戶服務大都恢復正常。


熱門新聞

Advertisement