Zpět

Bezpečnostní záplata pro produkty Jira a Jira Service Management Server a Data Center CVE-2022-0540

22. 4. 2022

Společnost Atlassian vydala upozornění na bezpečnostní riziko pro produkty Jira a Jira Service Management Server a Data Center.

Shrnutí zranitelnosti

Aplikace Jira a Jira Service Management Server a Data Center jsou zranitelné vůči obcházení ověřování v rámci webového ověřování Jira Seraph.

 

Ačkoli se zranitelnost nachází v jádru systému Jira, ovlivňuje aplikace prvních a třetích stran, které specifikují roles-required na úrovni jmenného prostoru akce webwork1 a nespecifikují ji na úrovni akce. Pokud konkrétní akce neprovádí žádné další kontroly ověření nebo autorizace, bude tato akce postižena.

 

Vzdálený neautentizovaný útočník by toho mohl zneužít odesláním speciálně vytvořeného HTTP požadavku, aby obešel požadavky na ověření a autorizaci v akcích WebWork využívajících postiženou konfiguraci.


Závažnost

U instalací, které používají aplikace s dotčenou konfigurací, hodnotí společnost Atlassian úroveň závažnosti této zranitelnosti jako kritickou, i když se může lišit, pokud dotčená aplikace používá další kontroly oprávnění. Podrobnější informace o dopadu na jednotlivé aplikace uvedené v části Určení postižených aplikací níže získáte od dodavatele aplikace.

 

U instalací, které nepoužívají žádné aplikace s dotčenou konfigurací, jak je popsáno v části Shrnutí zranitelnosti výše, hodnotí společnost Atlassian úroveň závažnosti této zranitelnosti jako střední.

 

Jedná se o jejich hodnocení a vy byste měli posoudit jeho použitelnost ve svém vlastním prostředí IT.

 

Ovlivněné jsou následující produkty:

  • Jira
    • Jira Core Server
    • Jira Software Server
    • Jira Software Data Center
  • Jira Service Management
    • Jira Service Management Server
    • Jira Service Management Data Center

 

Ovlivněné jsou následující verze:

  • Jira verze:
    • všechny verze před 8.13.18
    • 8.14.x
    • 8.15.x
    • 8.16.x
    • 8.17.x
    • 8.18.x
    • 8.19.x
    • 8.20.x před 8.20.6
    • 8.21.x
  • Jira Service Management verze:
    • všechny verze před 4.13.18
    • 4.14.x
    • 4.15.x
    • 4.16.x
    • 4.17.x
    • 4.18.x
    • 4.19.x
    • 4.20.x před 4.20.6
    • 4.21.x

 

Určení postižených aplikací

Zranitelnost se dotýká i dalších dvou aplikací od Atlassian:

  • Insight - Asset Management
    • Verze 8.x a dřívější (dostupné na Atlassian Marketplace)
    • Verze 9.x jsou v balíčku s Jira Service Management Server a Data Center 4.15.0 a pozdější
  • Mobile Plugin for Jira
    • Dodávaný s Jira Server, Jira Software Server a Data Center 8.0.0 a pozdějšími
    • Dodávaný s Jira Service Management Server a Data Center 4.0.0 a pozdějšími

 

Atlassian Marketplace apps s konfiguracemi ovlivněnými CVE-2022-0540 - detailní výpis zde Jira Security Advisory 2022-04-20 | Atlassian Support | Atlassian Documentation

 

Řešení

Je nutné přejít na následující verze pro zmírnění zranitelnosti:

  • Opravené Jira verze:
    • 8.13.x >= 8.13.18
    • 8.20.x >= 8.20.6
    • všechny verze >= 8.22.0
  • Opravené Jira Service Management verze:
    • 4.13.x >= 4.13.18
    • 4.20.x >= 4.20.6
    • všechny verze >= 4.22.0

 

Nejjistějším způsobem nápravy chyby CVE-2022-0540 je instalace opravené verze systému Jira nebo Jira Service Management. Po instalaci opravené verze jsou všechny aplikace ve vaší instanci chráněny proti CVE-2022-0540 a není třeba provádět žádné další kroky.

 

Pokud nemůžete nainstalovat opravenou verzi aplikace Jira nebo Jira Service Management a používáte některé z postižených aplikací, podívejte se do tabulky v části Určení postižených aplikací výše a zjistěte, zda jsou k dispozici neovlivněné verze těchto aplikací. Pokud ano, aktualizujte všechny dotčené aplikace na neovlivněnou verzi.

 

Pokud používáte některou z aplikací uvedených v části Určení postižených aplikací a jsou postiženy všechny verze aplikace, můžete v krajním případě zmírnit bezpečnostní riziko tím, že aplikaci zakážete, dokud nebudete moci nainstalovat opravenou verzi aplikace Jira nebo Jira Service Management.

 

POZOR!!! Aplikaci Insight - Asset Management NEDOPORUČUJEME zakázat v následujících verzích aplikace Jira Service Management:

4.19.x
4.20.x < 4.20.3

 

Zakázání aplikace Insight - Asset Management způsobí vypnutí celé aplikace Jira Service Management v těchto zmíněných verzích.

 

Další informace o tom, jak zakázat aplikaci Insight - Asset Management, naleznete v tomto článku KB Jira: How to install, uninstall, enable or disable Insight - Asset Management app in different Jira Service Management instance type and version | Jira | Atlassian Documentation

 

 

Chcete poradit nebo pomoci s upgradem či nastavením vaší instance? Neváhejte se na nás obrátit a kontaktujte nás na atlassian@onlioaps.com

 

Zdroj:

Jira Security Advisory 2022-04-20 | Atlassian Support | Atlassian Documentation