近期 Atlassian 公布了一則關於 Atlassian 系列全產品之資訊安全相關的文章,內容涵蓋到所有下方指定版本,如是當前版本的客戶請注意 -
Product |
|
Affected versions | Bamboo Server and Data Center
Bitbucket Server and Data Center
Confluence Server and Data Center
Crucible
Fisheye
Jira Service Management Server and Data Center
Insight Asset Management (Marketplace app for Jira Service Management)
Jira Software Server and Data Center (including Jira Core)
|
已發現一個會影響 Atlassian 系列大多產品的漏洞,特殊字符(稱為 Unicode bidirectional override characters)不會在受到影響的產品中顯示出來(繁體中文雖然是 unicode 但並非bidirectional override characters,但如有右方幾種文字,包含阿拉伯語、希伯來文、烏都文和波斯文,則要注意)。
這些特殊字符不會在瀏覽器或代碼編輯器顯示,但在編譯器 (compiler) 或解釋器 (interpreter)處理程式碼時,如包含到這類特殊字符,會影響到原始碼的原本含義,譬如如有意圖不軌之人在 JIRA 的欄位或者 Bitbucket 的程式碼中,加入此類特殊字符,瀏覽器頁面上看不到該字符,但是該字符依然可能會影響系統運作。
如確認是使用上方受影響版本的產品,請盡速進行版本升級動作 –
Fixed Versions | Bamboo Server and Data Center
Bitbucket Server and Data Center
Confluence Server and Data Center
Crucible
Fisheye
Jira Service Management Server and Data Center
Insight Asset Management (Marketplace app for Jira Service Management)
Jira Software Server and Data Center (including Jira Core)
|
上述步驟完成,當在使用 Atlassian 上述影響到之產品時,系統會針對特殊字符做顯示並且特別標示。
提醒確認此特殊字符的意圖性是否合理。並且也請注意提醒使用者後續操作請注意下方兩點–
不要從外部來源複製且貼上您將引入原始碼的程式碼片段
如果使用複製貼上到後台 Command 時,請更加小心
Atlassian 針對此漏洞有下方 Q&A 之解釋,有需要請參考 – FAQ for CVE-2021-42574 | Atlassian Support | Atlassian Documentation
Linktech 深耕 Atlassian 系列解決方案,同時涵蓋資訊安全檢驗的部分,若有發現 Jira DC 環境存在以上潛在危機的客戶,歡迎隨時與我們聯繫,同時在軟體升級的部分,我們也會再進行升級前進行全系統的盤點與掃描,確保升級後功能可以正常使用,且資料不會流失。
資訊安全對於 IT 團隊來說責任是重中之重,然而每個 IT 團隊要維護的系統非常繁雜,有 ERP、CRM、Issue Tracking…等,有時要管理的系統太多,反而頭尾不能兼顧,如果您也遇到這樣的情況,請放心將您的系統委由 Linktech 協助維護,我們將會是您系統維運最佳神隊友。
想了解更多資訊,請看原廠資安文章:Atlassian 資安文章