【Linktech 資安神隊友】Jira Security Advisory-CVE-2022-0540

近期 Atlassian 公布了一則關於 Jira 之資訊安全相關的文章,內容涵蓋到所有下方 Jira 系列指定產品,如是有使用底下產品的客戶請注意 :


Product

  • Jira Core Server

  • Jira Software Server

  • Jira Software Data Center

  • Jira Service Management

  • Jira Service Management Server

  • Jira Service Management Data Center

Affected versions

Jira

  • All versions before 8.13.18

  • 8.14.x

  • 8.15.x

  • 8.16.x

  • 8.17.x

  • 8.18.x

  • 8.19.x

  • 8.20.x before 8.20.6

  • 8.21.x

Jira Service Management

  • All versions before 4.13.18

  • 4.14.x

  • 4.15.x

  • 4.16.x

  • 4.17.x

  • 4.18.x

  • 4.19.x

  • 4.20.x before 4.20.6

  • 4.21.x

已發現一個會影響 Jira 系列指定版本的漏洞,這 CVE 編號為 CVE-2022-0540 的漏洞可以讓 Jira 系列產品的 Web 驗證框架 Seraph 內的驗證被繞過,進而可讓未經授權的攻擊者傳送惡意HTTP呼叫繞過驗證以執行指令。Atlassian 當前將本漏洞嚴重等級列為重大(critical)。


當貴司環境處於上方指定版本時就有可能會受到此漏洞所影響,請盡速做升級動作,另外如果貴司有使用到下方指定第三方 Plugin 也必須要注意,請盡速升級或移除該 Plugin,詳細 Plugin清單請參考下方原廠文件連結:

Jira Security Advisory 2022-04-20 | Atlassian Support | Atlassian Documentation (List of affected Atlassian Marketplace Apps)


再次提醒如貴司當前環境卻認為漏洞影響之範圍內,請盡速做主程式以及上述提到受影響之Plugin 的升級,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。


Atlassian 針對此漏洞有下方 Q&A 之解釋,有需要請參考:

https://confluence.atlassian.com/kb/faq-for-cve-2022-0540-1123193843.html


Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Atlassian 系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。


資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。


#Linktech #AtlassianPlatinumSolutionPartner #Taiwan #Atlassian #Jira #Server #DataCenter #Upgrade #Version #JiraCore #JiraSoftware #Critical #Plugin #JiraServiceManagement #Remove #Malicious #Examine #ERP #CRM #IssueTracking #Team

129 views0 comments