Linktech - 資安神隊友 Atlassian Multiple Products Security - CVE-2021-44228

Updated: Dec 20, 2021

近期 Atlassian 公布了一則關於 Atlassian 系列全產品之資訊安全相關的文章,內

容涵蓋到所有下方指定所有產品,如是有使用底下產品的客戶請注意:

Product

  • Jira Server & Data Center

  • Confluence Server & Data Center

  • Bamboo Server & Data Center

  • Crowd Server & Data Center

  • Bitbucket Server & Data Center

  • Fisheye

  • Crucible

Affected versions

​All versions

已發現一個會影響 Atlassian 系列大多產品的漏洞,並且在全版本都會有影響,此漏洞為針對Log4j 的遠端程式碼執行 (RCE),惡意人士將可以透過此漏洞遠端連進貴司環境執行惡意指令。



本次漏洞受影響產品之 Log4j 配置檔的路徑如下,請盡速連進確認:

Product

​Default Path

Jira Server & Data Center

<install-directory>/atlassian-jira/WEB-

INF/classes/log4.properties

Confluence Server & Data Center

<install-directory>/confluence/WEB-

INF/classes/log4j.properties

Bamboo Server & Data Center

​<install-directory>/atlassian-bamboo/WEB-

INF/classes/log4j.properties

Fisheye / Crucible

<install-directory>/log4j.xml

Crowd

​<install-directory>/crowd-webapp/WEB-

INF/classes/log4j.properties

<install-directory>/crowd-openidclient-webapp/WEB-

INF/classes/log4j.properties

<install-directory>/crowd-openidserver-webapp/WEB-

INF/classes/log4j.properties

當前 Atlassian 原廠判斷在產品 [除 Bitbucket 外,修復方式請參考下文] 的 log4j 原生設置下並不會受到此漏洞攻擊,但如果貴司有修改過 log4j 的設置檔,請確認該設置檔中是否有新增下方參數,或者是否有資料證明曾經有新增過下方參數在 log4j 的設置檔中:

org.apache.log4j.net.JMSAppender


如果確認有新增過此參數在 Log4j 的設置檔中並且運行過產品,則原廠當前建議盡快移除該參數並且重啟服務,但非常遺憾的是當前原廠無法保證是否貴司環境已經遭惡意人士透過此漏洞入侵,如曾經有開啟過,請盡速關閉後並與 Linktech 團隊做聯繫,Linktech 會盡速協助您調查此問題。


另外針對 Bitbucket Data Center & Server部分,雖然原廠當前判斷 Bitbucket 自身並不會受到此漏洞影響,但是 Bitbucket 本身所使用到的 Elasticsearch,用於進行程式碼搜尋的搜尋引擎工具,是有可能受到此漏洞的危害,故如果貴司是使用 7.17.4 版本以下的 Bitbucket Data Center 或者 Server,請盡速升級到 Long Term Support 版本 7.17.4 或者以上版本 。


但如果當前無法立即進行升級的話,請依照下方步驟操作:

  1. 新增下方指令到下方指定檔案中: $BITBUCKET_HOME/shared/search/jvm.options -Dlog4j2.formatMsgNoLookups=true

  2. 重啟Bitbucket服務


即可以盡速避免受到此漏洞的危害,另外如果貴司 Bitbucket 版本為 7.12 到 7.19 之間,則 Bitbucket 本身會包含一個完全不會使用到的 log4j-core 元件,如果是使用到此版本的 Bitbucket Server & Data Center 原廠評估並不會受到本次漏洞影響。 另外如果貴司 Bitbucket Server & Data Center 所使用的 Elasticsearch 並非是 Bitbucket內建的 Elasticsearch 而是外部的 Elasticsearch,請依照下方文章盡速升級您的Elasticsearch: Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31 - Announcements / Security Announcements - Discuss the Elastic Stack

Atlassian針對此漏洞有下方Q&A之解釋,有需要請參考:

Multiple Products Security Advisory - Log4j Vulnerable To Remote Code Execution - CVE-2021-44228


Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Jira DC 環境存在以上潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。


資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。


#Jira #Confluence #Bitbucket #Bamboo #Fisheye #Crucible #Crowd #Server #DataCenter #Security #Linktech #AtlassianPlatinumSolutionPartner #Taiwan

253 views0 comments