...
이 권고는 Crowd 3.0.0에서 도입된 Critical 심각도의 보안 설정 오류 취약점을 공개합니다.
3.0.0 버전 이후 출시된 모든 버전이 영향을 받지만 다음 조건이 모두 충족되는 경우에만 해당됩니다.
...
앞서 언급했듯이 새로 설치한 경우에만 취약합니다. 예를 들어 버전 2.9.1에서 3.0.0으로 업그레이드한 경우 인스턴스는 영향을 받지않습니다.
그러나 이 경우 버전 2.9.1에 있던 기존 remote addresses는 버전 3.0.0을 실행하는 인스턴스로 전달됩니다.
이는 Crowd 애플리케이션의 Remote Addresses 구성에서도 제거할 수 있습니다.
사용자 관리를 위해 Embedded Crowd에 의존하는 기타 Atlassian Data Center 및 Server 제품은 영향을 받지 않습니다.
...
Remote Address 삭제
Crowd 제품에서 Crowd 응용 프로그램의 crowd appliaction의 Remote Address를 제거하거나 유효성을 검사하여 문제를 일시적으로 완화할 수 있습니다.(사용자가 추가한 다른 application들은 제외)
| 참고사항 |
|---|
제거 전 현재 등록된 정보에 대해서 기록을 남겨 복원 할 수 있도록 해주세요. |
Remote Address 삭제 방법은 다음과 같습니다.
- Crowd Administration Console 로그인
- 네비게이션 바 상단에 Applictions 클릭
- Application Browser에서 Crowd 애플리케이션 crowd application 선택
- View Application 화면에서 Remote Addresses 탭 클릭
- Remore Address를 삭제
...
더불어, remote address를 제거할 수 없는 경우 Crowd 애플리케이션의 crowd application의 비밀 번호를 더 강력한 것으로 변경할 수 있습니다.
...
- Crowd Administration Console 로그인
- 네비게이션 바 상단에 Applictions 클릭
- Application Browser에서 Crowd 애플리케이션 crowd application 선택
- Details 탭에서 Change password 선택
...