소프트웨어 기업 아틀라시안이 인증 우회에 악용될 수 있는 Jira Seraph의 보안 취약점 CVE-2022-0540를 패치를 통해 해결했다고 밝혔다.
아틀라시안에 따르면, CVE-2022-0540 취약점을 통해 소프트웨어에 HTTP 요청을 전송해 해킹을 시도할 수 있는 것으로 알려졌다. 이번에 발견된 취약점이 영향을 미칠 수 있는 아틀라시안의 제품은 다음과 같다.
Jira Serve-Data Center
▲버전 8.13.18 이전
▲버전 8.14.0 이상 8.20.6 이전
▲버전 8.21.0 이상 8.22.0 이전
Jira Service Management Server-Data Center
▲버전 4.13.18 이전
▲버전 4.14.0 이상 4.20.6 이전
▲버전 4.21.0 이상 4.22.0 이전
아틀라시안은 “Jira와 Jira Service Management는 웹 인증 프레임워크인 Jira Seraph의 인증 우회에 취약하다. 또한 webwork1 작업 네임스페이스 수준에서 필요한 역할을 지정하고 작업 수준에서는 지정하지 않는 자사 및 타사 앱에도 영향을 미핀다. 영향을 받는 특정 작업의 경우 다른 인증 또는 권한 부여 검사도 수행하지 않아야 한다”라고 설명했다.
또한 회사는 고정 버전의 Jira 또는 Jira Service Management를 설치할 수 없고 영향을 받는 앱 사용자들을 위해 완화 기능을 제공하면서 앱을 영향을 받지 않는 새로운 버전으로 업데이트 할 것을 권장했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
