top of page

【Linktech 資安神隊友】BASM Vulnerability in JSM - CVE-2023-22501

近期 Atlassian 公布了一則關於 Jira Service Management 之資訊安全相關的文章,內容涵蓋到所有下方 Jira Service Management 版本,如是有使用下方版本之客戶請注意 :

Product

Jira Service Management Server

Jira Service Management Data Center

Affected

versions


Jira Service Management Server

Jira Service Management Data Center

  • 5.3.0

  • 5.3.1

  • 5.3.2

  • 5.4.0

  • 5.4.1

  • 5.5.0

已發現一個會影響 Jira Service Management 指定版本的漏洞,這 CVE 編號為 CVE-2023-22501 的漏洞讓 Jira Service Management 公開註冊的用戶在 Jira Service Management 上取得從未登入過用戶的註冊 token,貴司的回覆機器人帳號為最常見攻擊對象。Atlassian 當前將本漏洞嚴重等級列為重大(critical)


當貴司環境處於上方指定版本時就有可能會受到此漏洞所影響,請盡速做升級動作,建議升級到下方指定版本 :

​Fix versions

Jira Service Management

5.3.3

5.4.2

5.5.1

5.6.0 or later


Atlassian Cloud 網站不受影響

如果您使用 Atlassian Cloud 產品,則您不受此漏洞的影響。 另外如果貴司當前沒有辦法立即升級,則也請盡速與 Linktech 技術團隊聯繫取得更新 JAR 檔案,請來信下方 Mail-

E-mail: rosher@linktech.com.tw


並依照下方緊急處理方案進行操作,也可以應急修正此漏洞對貴司的危害:

手動更新 servicedesk-variable-substitution-plugin 檔案

  1. 從上表中下載指定版本的 JAR 檔

  2. Stop Jira Service

  3. 將 JAR 檔案複製到 Jira 主目錄中

  4. Server 版本:<Jira_Home>/plugins/installed-plugins

  5. Data Center 版本:<Jira_Shared>/plugins/installed-plugins

  6. Start Jira Service


再次提醒如貴司當前 Jira Service Management 環境確定為漏洞影響之範圍內,請盡速做主程式的升級或者依照上方救急方案進行修復,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。



Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Atlassian 系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。


資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。



470 views0 comments

Comments


bottom of page