近期 Atlassian 公布了一則關於 Atlassian Jira Service Management 系列產品之資訊安全相關的文章,內容涵蓋到該產品下方之版本,如是有使用下方版本之客戶請注意:
Product | Affected Versions |
Jira Service Management Server and Data Center | • All versions prior to 4.20.0 • 4.20.0 • 4.20.1 • 4.20.2 • 4.20.3 • 4.20.4 • 4.20.5 • 4.20.6 • 4.20.7 • 4.20.8 • 4.20.9 • 4.20.10 • 4.20.11 • 4.20.12 • 4.20.13 • 4.20.14 • 4.20.15 • 4.20.16 • 4.20.17 • 4.20.19 • 4.20.20 • 4.20.21 • 4.20.22 • 4.20.23 • 4.20.24 • 4.20.25 • 4.21.0 • 4.21.1 • 4.22.0 • 4.22.1 • 4.22.2 • 4.22.3 • 4.22.4 • 4.22.6 • 5.0.0 • 5.1.0 • 5.1.1 • 5.2.0 • 5.2.1 • 5.3.0 • 5.3.1 • 5.3.2 • 5.3.3 • 5.4.0 • 5.4.1 • 5.4.2 • 5.4.3 • 5.4.4 • 5.4.5 • 5.4.6 • 5.4.7 • 5.4.8 • 5.4.9 • 5.5.0 • 5.5.1 • 5.6.0 • 5.7.0 • 5.7.1 • 5.8.0 • 5.8.1 • 5.9.0 • 5.9.1 • 5.10.0 |
漏洞摘要:
Atlassian 已注意到少數客戶報告的一個問題,Jira Service Management Server 和 Data Center 的某些版本受到 CVE-2019-13990 ( XXE , XML External Entity Injection ) 的影響。該版本允許經過身份驗證的攻擊者使用作業描述發動 XML 外部實體注入攻擊。無法本地存取系統的未經身份驗證的攻擊者無法利用此漏洞。
解決方案:
根據 Atlassian 嚴重性級別中發佈的等級,Atlassian 將此漏洞的嚴重性級別評為 嚴重 CVSS 9.8,當貴司環境處於上方指定版本並且符合指定條件時就有可能會受到此漏洞所影響,請盡速做升級動作,建議升級到下方指定版本:
Product | Fixed Versions |
Jira Service Management Server and Data Center | • 4.20.26 or later (LTS) • 5.4.10 or later (LTS) • 5.7.2 or later • 5.8.2 or later • 5.9.2 or later • 5.10.1 or later |
緩解方法:
如果短時間內沒有辦法進行升級,您可以通過下方方法來暫時緩解此問題:
暫時停用 Assets 功能,可緩解此問題
但再次提醒如貴司當前環境為漏洞影響之範圍內,最終應該都請盡速做主程式的升級,如有需要任何協助確認或者升級工程,請盡速與 Linktech 團隊做聯繫。
Atlassian Cloud 網站不受此漏洞的影響。如果您的 Confluence 是通過 atlassian.net 網域訪問的,該網站經由 Atlassian 直接管理,不會受到此漏洞的任何影響,考量降低貴司 INFRA 團隊負荷,建議開始考慮將 Atlassian confluence Server & Data Center 移轉到 Atlassian Cloud 上,任何移轉需求,歡迎與 Linktech 進行聯繫諮詢。
Atlassian 針對此漏洞之完整說明,有需要請參考下方連結:
Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Atlassian 系列產品環境存在潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。
資訊安全對於 IT 團隊來說責任是重中之重, 然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking … 等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊
友。