近期 Atlassian 公布了一則關於 Jira Service Management 之資訊安全相關的文章,內容涵蓋到所有下方 Jira Service Management 版本,如是有使用下方版本之客戶請注意 :
Product | Jira Service Management Server Jira Service Management Data Center |
Affected versions | Jira Service Management Server Jira Service Management Data Center
|
已發現一個會影響 Jira Service Management 指定版本的漏洞,這 CVE 編號為 CVE-2023-22501 的漏洞讓 Jira Service Management 公開註冊的用戶在 Jira Service Management 上取得從未登入過用戶的註冊 token,貴司的回覆機器人帳號為最常見攻擊對象。Atlassian 當前將本漏洞嚴重等級列為重大(critical)。
當貴司環境處於上方指定版本時就有可能會受到此漏洞所影響,請盡速做升級動作,建議升級到下方指定版本 :
Fix versions | Jira Service Management 5.3.3 5.4.2 5.5.1 5.6.0 or later |
Atlassian Cloud 網站不受影響
如果您使用 Atlassian Cloud 產品,則您不受此漏洞的影響。 另外如果貴司當前沒有辦法立即升級,則也請盡速與 Linktech 技術團隊聯繫取得更新 JAR 檔案,請來信下方 Mail-
E-mail: rosher@linktech.com.tw
並依照下方緊急處理方案進行操作,也可以應急修正此漏洞對貴司的危害:
手動更新 servicedesk-variable-substitution-plugin 檔案
從上表中下載指定版本的 JAR 檔
Stop Jira Service
將 JAR 檔案複製到 Jira 主目錄中
Server 版本:<Jira_Home>/plugins/installed-plugins
Data Center 版本:<Jira_Shared>/plugins/installed-plugins
Start Jira Service
再次提醒如貴司當前 Jira Service Management 環境確定為漏洞影響之範圍內,請盡速做主程式的升級或者依照上方救急方案進行修復,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。
Atlassian 針對此漏洞之完整說明,有需要請參考下方連結: https://confluence.atlassian.com/jira/jira-service-management-server-and-data-center-advisory-cve-2023-22501-1188786458.html
Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Atlassian 系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。
資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。
#Linktech #AtlassianPlatinumSolutionPartner #Taiwan #Atlassian #JiraServiceManagement #Server #DataCenter #Upgrade #Version #Cirtical #Cluster