• Linktech

Linktech - 資安神隊友 Atlassian Multiple Products Security - CVE-2021-42574

近期 Atlassian 公布了一則關於 Atlassian 系列全產品之資訊安全相關的文章,內容涵蓋到所有下方指定版本,如是當前版本的客戶請注意 -

Product

  • Bamboo Server and Data Center

  • Bitbucket Server and Data Center

  • Confluence Server and Data Center

  • Crucible

  • Fisheye

  • Jira Service Management Server and Data Center (and Insight Asset Management app)

  • Jira Software Server and Data Center (including Jira Core)

Affected versions

Bamboo Server and Data Center

  • All versions before 8.0.4

Bitbucket Server and Data Center

  • All versions before 6.10.14

  • All versions between 7.0.0 and 7.5.2 (inclusive)

  • All 7.6.x LTS versions before 7.6.10

  • All versions between 7.7.0 and 7.16.1 (inclusive)

  • All 7.17.x LTS versions before 7.17.1

Confluence Server and Data Center

  • All versions before 7.4.13

  • All versions between 7.5.0 and 7.12.5 (inclusive)

  • All 7.13.x LTS versions before 7.13.2

  • Version 7.14.0

Crucible

  • All versions before 4.8.8

Fisheye

  • All versions before 4.8.8

Jira Service Management Server and Data Center

  • All versions before 4.13.13

  • All versions between 4.14.0 and 4.19.1 (inclusive)

  • All 4.20.x LTS versions before 4.20.1

Insight Asset Management (Marketplace app for Jira Service Management)

  • All versions before 8.9.4

Jira Software Server and Data Center (including Jira Core)

  • All versions before 8.13.13

  • All versions between 8.14.0 and 8.19.1 (inclusive)

  • All 8.20.x LTS versions before 8.20.1

已發現一個會影響 Atlassian 系列大多產品的漏洞,特殊字符(稱為 Unicode bidirectional override characters)不會在受到影響的產品中顯示出來(繁體中文雖然是 unicode 但並非bidirectional override characters,但如有右方幾種文字,包含阿拉伯語、希伯來文、烏都文和波斯文,則要注意)。


這些特殊字符不會在瀏覽器或代碼編輯器顯示,但在編譯器 (compiler) 或解釋器 (interpreter)處理程式碼時,如包含到這類特殊字符,會影響到原始碼的原本含義,譬如如有意圖不軌之人在 JIRA 的欄位或者 Bitbucket 的程式碼中,加入此類特殊字符,瀏覽器頁面上看不到該字符,但是該字符依然可能會影響系統運作。


如確認是使用上方受影響版本的產品,請盡速進行版本升級動作 –

Fixed Versions

Bamboo Server and Data Center

  • 8.0.4

Bitbucket Server and Data Center

  • 6.10.14

  • 7.6.10

  • 7.17.1

Confluence Server and Data Center

  • 7.4.13

  • 7.13.2

  • 7.14.1

Crucible

  • 4.8.8

Fisheye

  • 4.8.8

Jira Service Management Server and Data Center

  • 4.13.13

  • 4.20.1

Insight Asset Management (Marketplace app for Jira Service Management)

  • 8.9.4

Jira Software Server and Data Center (including Jira Core)

  • 8.13.13

  • 8.20.1

上述步驟完成,當在使用 Atlassian 上述影響到之產品時,系統會針對特殊字符做顯示並且特別標示。

提醒確認此特殊字符的意圖性是否合理。並且也請注意提醒使用者後續操作請注意下方兩點–

  1. 不要從外部來源複製且貼上您將引入原始碼的程式碼片段

  2. 如果使用複製貼上到後台 Command 時,請更加小心

Atlassian 針對此漏洞有下方 Q&A 之解釋,有需要請參考 – FAQ for CVE-2021-42574 | Atlassian Support | Atlassian Documentation


Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Jira DC 環境存在以上潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。


資訊安全對於 IT 團隊來說責任是重中之重,然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。


想了解更多資訊,請看原廠資安文章:Atlassian 資安文章


#JiraSoftware #JiraServiceManagement #Confluence #Bitbucket #Bamboo #Fisheye #Crucible #InsightAssetManagement #Server #DataCenter #Security #Linktech #AtlassianPlatinumSolutionPartner #Taiwan

65 views0 comments

Recent Posts

See All

輸入您 email 開始接收我們精心準備的電子報!

Thanks for submitting!