...
- Atlassian 제품군에서는 기본적으로 영향 받지 않으나, Log4J 설정(log4j.properties)을 커스터마이징하여 JMS Appender(org.apache.log4j.JMSAppender) 기능을 사용할 경우, Bitbucket을 제외한 모든 제품에서 위 보안 이슈에 취약함
제품별 다음 경로의 log4.properties 파일을 확인하여 JMS Appender 사용여부를 확인 필요 (Bitbucket, Bitbucket Data Center는 사용할 수 없기 때문에 영향 없음)
Product Default Path Jira Server & Data Center <install-directory>/atlassian-jira/WEB-INF/classes/log4.properties Confluence Server & Data Center <install-directory>/confluence/WEB-INF/classes/log4j.properties Bitbucket Server & Data Center 영향 없음 Bamboo Server & Data Center <install-directory>/atlassian-bamboo/WEB-INF/classes/log4j.properties Fisheye / Crucible <install-directory>/log4j.xml Crowd <install-directory>/crowd-webapp/WEB-INF/classes/log4j.properties <install-directory>/crowd-openidclient-webapp/WEB-INF/classes/log4j.properties <install-directory>/crowd-openidserver-webapp/WEB-INF/classes/log4j.properties
...
Bitbucket Embedded ElasticSearch 조치
Atlassian에 따르면 문제 없음으로 보이나, SonarQube의 Elastic Search와 비슷한 형태로 구성되어 있음으로 아래와 같은 조치를 취할 수 있음.
- Atlassian에서 공식 답변은 아직까지 없으나, 내장된 ElasticSearch(이하 ES)에서 log4j를 사용하므로 해당 부분 취약할 수 있음
=> JDK8 또는 그 이하 버전에서 사용하는 ES의 경우 취약함(아래 ElasticSearch 공식답변 링크에서 자세한 내용 확인 가능)
...