세종 엠에스피 IDC에서 시작하세요.

세종 엠에스피 IDC

고객센터정보

네임서버

ns1.dnshost.co.kr네임서버 정보 복사

222.122.197.75네임서버 정보 복사

ns2.dnshost.co.kr네임서버 정보 복사

222.122.197.76네임서버 정보 복사

오시는길

  • >
  • 고객센터
  • >
  • 보안패치
보안공지

지라(Jira) 원격코드실행 취약점 보안 업데이트 권고

페이지 정보

작성자 세종엠에스피 작성일19-08-19 09:20 조회17,604회

본문

□ 개요

o 아틀라시안社는 지라(Jira) 제품에 대해 원격코드실행 취약점을 해결한 보안 업데이트를 공지[1]

o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 이용자들은 최신 버전으로 업데이트 권고

 

□ 설명

o 지라 서버 및 데이터 센터의 ContactAdministrators 및 SendBulkMail 기능에서 발생하는 템플릿 삽입 취약점(CVE-2019-11581)

- Contact Administrators에서 발생하는 취약점은 공격자가 인증 없이 공격을 수행할 수 있으나 SendBulkMail의 경우 공격을 위해서는 관리자 권한이 필요
 

o 취약점이 발현되기 위해서는 아래의 두가지 조건 중 하나를 만족해야 함

- 지라에 SMTP 서버가 설정되어 있고 ContactAdministrators 폼이 활성화되어 있는 상태

- 지라에 SMTP 서버가 설정되어 있고 공격자가 ‘JIRA Administrators’에 접근이 가능한 상태

 

□ 영향 받는 제품 버전

 

버전명

심각도

4.4.x

5.x.x

6.x.x

7.0.x, 7.1.x, 7.2.x, 7.3.x, 7.4.x, 7.5.x

7.6.x before 7.6.14 (the fixed version for 7.6.x)

7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x

7.13.x before 7.13.5 (the fixed version for 7.13.x)

8.0.x before 8.0.3 (the fixed version for 8.0.x)

8.1.x before 8.1.2 (the fixed version for 8.1.x)

8.2.x before 8.2.3 (the fixed version for 8.2.x)

Critical

 

□ 해결 방안

o 취약점이 해결된 최신버전(7.6.14, 7.13.5, 8.0.3, 8.1.2, 8.2.3) 으로 설치

o 보안 패치를 즉시 적용할 수 없는 경우 아래 참고사이트 [2]의 “Mitigation” 내용을 확인하여 ContactAdministrators 폼을 비활성화하거나 SendBulkMail 차단 검토

 

□ 용어 설명

o 지라(Jira) : 아틀라시안이 개발한 이슈 추적 제품으로 버그 추적, 이슈 추적, 프로젝트 관리 기능 등을 제공하는 소프트웨어

 

□ 기타 문의사항

o 한국인터넷진흥원 사이버민원센터: 국번없이 118

 

[참고사이트]

[1] https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html

[2] https://community.atlassian.com/t5/Jira-articles/CVE-2019-11581-Critical-Security-Advisory-for-Jira-Server-and/ba-p/1128241

[3] https://confluence.atlassian.com/adminjiraserver/configuring-the-administrator-contact-form-974375905.html?_ga=2.252405761.940355944.1566195965-1199690533.1566195965 

이메일주소 무단수집 거부

세종엠에스피에서는 허가되지 않은 이메일 무단 수집을 거부합니다.

본 웹사이트에 게시된 이메일 주소가 전자우편 수집 프로그램이나 그 밖의 기술적 장치를 이용하여 무단으로 수집되는 것을 거부하며, 이를 위반시 정보통신망법에 의해 형사 처벌됨을 유념하시기 바랍니다.

* 관련법령

이메일을 기술적 장치를 이용하여 무단으로 수집, 판매, 유통하거나 이를 이용하는 자는 (정보통신망 이용 촉진 및 정보보호등에 관한 법률) 제 50조의 2 규정에 의하여 1천만원 이하의 벌금형에 처해집니다.

* 정보통신망법 제 50조의 2 (전자우편주소의 무단 수집행위 등 금지)

  1. 누구든지 전자우편 주소의 수집을 거부하는 의사가 명시된 인터넷 홈페이지에서 자동으로 전자우편주소를 수집하는 프로그램 그 밖의 기술적 장치를 이용하여 전자 우편 주소를 수집하여서는 아니된다.
  2. 누구든지 제 1항의 규정을 위반하여 수집된 전자우편주소를 판매/유통하여서는 아니된다.
  3. 누구든지 제 1항 및 제 2항의 규정에 의하여 수집,판매 및 유통이 금지된 전자우편 주소임을 알고 이를 정보전송에 이용하여서는 아니된다.