修理起来并不容易Jira与Confluence等云计算服务,Atlassian本周又发布了安全公告,修复Jira组件绕过漏洞的主要验证。
这项编号CVE-2022-0540的漏洞为Jira及Jira Service Management的Web验证框架Seraph内部验证绕过漏洞,允许未经授权的攻击者发送恶意HTTP绕过插件模块调用WebWork action执行指令的验证。Atlassian将这个漏洞的严重等级列为重大(critical)。
这个漏洞影响当地部署Jira产品包括Jira Core Server、Jira Software Server及Jira Software Data Center(8.13.18以前、8.14.x到8.20.6及8.21.x版);Jira Service Management Versions(4.13.18以前、4.14.x到4.20.6及4.21.x版)。
值得注意的是,虽然这个漏洞位于Jira其实核心影响两个App,这些都是开采条件App包括组态不当Webwork1 action namespace level指定roles-required、在action level同时没有指定Webwork1 action没有其他验证。
受影响的App包括InsightAsset Management,包括Atlassian Marketplace下载的8.10.0以前的版本,和Jira Service Management Server和Data Center 4.15.0(后版)版本。另一个是Mobile Plugin for Jira,搭载于Jira Server、Jira Software Server、Data Center 8.0.0(版本后)及Jira Service Management Server、Data Center 4.0.0(后版)。
不过Atlassian指出,Jira Cloud及Jira Serve Management Cloud不受影响。
Atlassian最新版本已经发布Jira及Jira Service Management,呼吁用户尽快更新到最新版本。
上周Atlassian在2周的抢修下,本月初断线的网站恢复上线。受影响的云计算服务涵盖Jira Software、Confluence、Bitbucket、Trello云计算版等网站停机。上周Atlassian说明原因不是网络攻击,而是两个维护团队沟通不良,使用操作指令错误,导致近400个网站数据被删除。除公司网站外Atlassian Develops除服务和状态页面外,其他用户服务大多恢复正常。
