Bezpečnostní záplata pro produkty Jira Server a Data Center CVE-2022-26135
Společnost Atlassian vydala upozornění na bezpečnostní riziko pro všechny produkty Jira Server a Data Center.
Shrnutí zranitelnosti
Produkty Jira Software, Core a Jira Service Management ve variantě Server a Data Center obsahující add-on (App) Mobile plugin for Jira jsou dotčeny.
Vzdálený autorizovaný útočník by toho mohl zneužít odesláním speciálně vytvořeného HTTP požadavku, aby spustil škodlivý kód na instanci Jira.
Závažnost
U instalací, které používají aplikace s dotčenou konfigurací, hodnotí společnost Atlassian úroveň závažnosti této zranitelnosti jako vysokou.
Jedná se o hodnocení Atlassianu a vy byste měli posoudit jeho použitelnost ve svém vlastním prostředí IT. Více informací o hodnocení lze nalézt zde.
Ovlivněné jsou následující produkty:
- Jira
- Jira Core Server
- Jira Software Server
- Jira Software Data Center
- Jira Service Management
- Jira Service Management Server
- Jira Service Management Data Center
Ovlivněné jsou následující verze:
- Jira verze:
- všechny verze před 8.13.22
- 8.14.x
- 8.15.x
- 8.16.x
- 8.17.x
- 8.18.x
- 8.19.x
- 8.20.x před 8.20.10
- 8.21.x
- 8.22.x před 8.22.4
- Jira Service Management verze:
- všechny verze před 4.13.22
- 4.14.x
- 4.15.x
- 4.16.x
- 4.17.x
- 4.18.x
- 4.19.x
- 4.20.x před 4.20.10
- 4.21.x
- 4.22.x před 4.22.4
Určení postižených aplikací
Zranitelnost se dotýká aplikace od Atlassian:
- Mobile Plugin for Jira
- Dodávaný s Jira Server, Jira Software Server a Data Center 8.0.0 a pozdějšími
- Dodávaný s Jira Service Management Server a Data Center 4.0.0 a pozdějšími
Následující aplikace nemá na zranitelnost vliv:
- Jira Mobile
Řešení
Je nutné přejít na následující verze pro řešení zranitelnosti:
- Opravené Jira verze:
- 8.13.22
- 8.20.10
- 8.22.4
- 9.0.0
- Opravené Jira Service Management verze:
- 4.13.22
- 4.20.10
- 4.22.4
Nejjistějším způsobem nápravy chyby CVE-2022-26135 je instalace opravené verze systému Jira nebo Jira Service Management. Po instalaci opravené verze jsou všechny aplikace ve vaší instanci chráněny proti CVE-2022-26135 a není třeba provádět žádné další kroky.
Pokud nemůžete nainstalovat opravenou verzi aplikace Jira nebo Jira Service Management a používáte postiženou aplikaci, je možné instalovat verzi Mobile plugin for Jira, která není zranitelností postižena:
- 3.1.5 (pro Jira verze 8.13.x a JSM 4.13.x)
- 3.2.15 (pro Jira verze 8.20.x - 8.22.x, JSM 4.20.x - 4.22.x)
- pro ostatní verze je třeba aplikaci deaktivovat (disable)
Chcete poradit nebo pomoci s upgradem či nastavením vaší instance? Neváhejte se na nás obrátit a kontaktujte nás na atlassian@onlioaps.com
Zdroj:
https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html
Sdílejte