Zpět

Bezpečnostní záplata pro produkty Jira Server a Data Center CVE-2022-26135

30. 6. 2022

Společnost Atlassian vydala upozornění na bezpečnostní riziko pro všechny produkty Jira Server a Data Center.

 

Shrnutí zranitelnosti

Produkty Jira Software, Core a Jira Service Management ve variantě Server a Data Center obsahující add-on (App) Mobile plugin for Jira jsou dotčeny.

 

Vzdálený autorizovaný útočník by toho mohl zneužít odesláním speciálně vytvořeného HTTP požadavku, aby spustil škodlivý kód na instanci Jira.

 

Závažnost

U instalací, které používají aplikace s dotčenou konfigurací, hodnotí společnost Atlassian úroveň závažnosti této zranitelnosti jako vysokou.

 

Jedná se o hodnocení Atlassianu a vy byste měli posoudit jeho použitelnost ve svém vlastním prostředí IT. Více informací o hodnocení lze nalézt zde.

 

Ovlivněné jsou následující produkty:

  • Jira
    • Jira Core Server
    • Jira Software Server
    • Jira Software Data Center

 

  • Jira Service Management
    • Jira Service Management Server
    • Jira Service Management Data Center

 

Ovlivněné jsou následující verze:

  • Jira verze:
    • všechny verze před 8.13.22
    • 8.14.x
    • 8.15.x
    • 8.16.x
    • 8.17.x
    • 8.18.x
    • 8.19.x
    • 8.20.x před 8.20.10
    • 8.21.x
    • 8.22.x před 8.22.4

 

  • Jira Service Management verze:
    • všechny verze před 4.13.22
    • 4.14.x
    • 4.15.x
    • 4.16.x
    • 4.17.x
    • 4.18.x
    • 4.19.x
    • 4.20.x před 4.20.10
    • 4.21.x
    • 4.22.x před 4.22.4

 

Určení postižených aplikací

Zranitelnost se dotýká aplikace od Atlassian:

 

  • Mobile Plugin for Jira
    • Dodávaný s Jira Server, Jira Software Server a Data Center 8.0.0 a pozdějšími
    • Dodávaný s Jira Service Management Server a Data Center 4.0.0 a pozdějšími

 

Následující aplikace nemá na zranitelnost vliv:

 

  • Jira Mobile

 

Řešení

Je nutné přejít na následující verze pro řešení zranitelnosti:

 

  • Opravené Jira verze:
    • 8.13.22
    • 8.20.10
    • 8.22.4
    • 9.0.0

 

  • Opravené Jira Service Management verze:
    • 4.13.22
    • 4.20.10
    • 4.22.4

 

Nejjistějším způsobem nápravy chyby CVE-2022-26135 je instalace opravené verze systému Jira nebo Jira Service Management. Po instalaci opravené verze jsou všechny aplikace ve vaší instanci chráněny proti CVE-2022-26135 a není třeba provádět žádné další kroky.

 

Pokud nemůžete nainstalovat opravenou verzi aplikace Jira nebo Jira Service Management a používáte postiženou aplikaci, je možné instalovat verzi Mobile plugin for Jira, která není zranitelností postižena:

 

  • 3.1.5 (pro Jira verze 8.13.x a JSM 4.13.x)
  • 3.2.15 (pro Jira verze 8.20.x - 8.22.x, JSM 4.20.x - 4.22.x)
  • pro ostatní verze je třeba aplikaci deaktivovat (disable)

 

Chcete poradit nebo pomoci s upgradem či nastavením vaší instance? Neváhejte se na nás obrátit a kontaktujte nás na atlassian@onlioaps.com

 

Zdroj:
https://confluence.atlassian.com/jira/jira-server-security-advisory-29nd-june-2022-1142430667.html