Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Atlassian 제품군에서는 기본적으로 영향 받지 않으나, Log4J 설정(log4j.properties)을 커스터마이징하여 JMS Appender(org.apache.log4j.JMSAppender) 기능을 사용할 경우,  Bitbucket을 제외한 모든 제품에서 위 보안 이슈에 취약함
  • 제품별 다음 경로의 log4.properties 파일을 확인하여 JMS Appender 사용여부를 확인 필요 (Bitbucket, Bitbucket Data Center는 사용할 수 없기 때문에 영향 없음)

    ProductDefault Path
    Jira Server & Data Center<install-directory>/atlassian-jira/WEB-INF/classes/log4.properties
    Confluence Server & Data Center<install-directory>/confluence/WEB-INF/classes/log4j.properties
    Bitbucket Server & Data Center영향 없음
    Bamboo Server & Data Center<install-directory>/atlassian-bamboo/WEB-INF/classes/log4j.properties
    Fisheye / Crucible<install-directory>/log4j.xml
    Crowd<install-directory>/crowd-webapp/WEB-INF/classes/log4j.properties <install-directory>/crowd-openidclient-webapp/WEB-INF/classes/log4j.properties <install-directory>/crowd-openidserver-webapp/WEB-INF/classes/log4j.properties


...

Bitbucket Embedded ElasticSearch 조치

...

Atlassian에 따르면 문제 없음으로 보이나, SonarQube의 Elastic Search와 비슷한 형태로 구성되어 있음으로 아래와 같은 조치를 취할 수 있음. 

  • 내장된 ElasticSearch(이하 ES)에서 log4j를 사용하므로 해당 부분 취약할 수 있음
    => JDK8 또는 그 이하 버전에서 사용하는 ES의 경우 취약함(아래 ElasticSearch 공식답변 링크에서 자세한 내용 확인 가능)

...