이 문서는 CVE-2022-22965 보안 취약점에 대한 Atlassian 공식 답변을 공유하기 위해 작성되었다.
보고서 게시일자:
CVE-2022-22965에 대한 FAQ
일반 정보
Spring Framework의 중요한 원격 코드 실행 취약점(CVE-2022-22965)이 발견되었습니다. Spring의 보안 권고에 따라이 취약점은 JDK 9 이상에서 실행되는 Spring MVC 및 Spring WebFlux 응용 프로그램에 영향을 미칩니다.
이 페이지에는 "CVE-2022-22965: JDK 9+에서 데이터 바인딩을 통한 스프링 프레임워크 RCE"에 대한 질문과 대답이 포함되어 있습니다. Atlassian 보안 팀은 새로운 정보를 사용할 수 있게 되면 이 페이지를 지속적으로 업데이트할 것입니다.
클라우드 인스턴스가 영향을 받습니까?
아니요, Atlassian의 클라우드에서 호스팅되는 당사 제품의 인스턴스는 알려진 익스플로잇에 취약하지 않으며 고객 조치가 필요하지 않습니다. 당사의 분석은 Atlassian 시스템이나 고객 데이터의 어떠한 손상도 확인하지 못했습니다. 많은 주의를 기울여 영향을 받는 Spring 버전을 사용하는 서비스는 새로운 공격 벡터가 발견될 경우 우선 순위로 패치되고 있습니다.
자체 관리 서버/데이터 센터 제품이 영향을 받습니까?
지속적인 조사를 통해 다음과 같은 온-프레미스 제품이 좁은 사전 조건을 충족할 때 취약한 것으로 확인되었습니다.
Bamboo Server & Data Center
Confluence Server & Data Center
Jira Software Server & Data Center
Jira Service Management Server & Data Center
성공적인 악용을 위해 다음 전제 조건이 모두 충족되어야 합니다.
- 제품이 JDK 9 이상에서 실행되어야 함
- 공격자는 사용자가 악의적인 HTTP 요청을 하도록 속일 수 있어야 함
- 요청에는 유효한 교차 사이트 요청 위조 토큰(Cross-Site Request Forgery token)이 포함되어야 함
- 대상 사용자는 '시스템 관리자' 권한으로 응용 프로그램에 로그인되어야 함
Jira 및 Confluence만 해당: 대상 사용자는 '보안 관리자 세션'도 가지고 있어야함(관리자 메뉴 진입시 재로그인하여 생성되는 세션)
제품은 데이터 센터 및 서버 버그 수정 정책에 따라 업데이트 됩니다.
다음 자체 관리 제품은 영향을 받는 버전의 Spring을 사용하지만 알려진 익스플로잇에는 취약하지 않습니다.
Bitbucket Server and Data Center
Crowd
Crucible
Fisheye
이러한 제품은 많은 주의를 기울여 데이터 센터 및 서버 버그 수정 정책에 따라 업데이트됩니다.
다음 자체 관리 제품은 Spring을 사용하지 않으며 패치가 필요하지 않습니다.
Mac용 Sourcetree
윈도우용 Sourcetree
패치를 사용할 수 있을 때까지 이 취약점을 완화하기 위한 임시 솔루션이 있습니까?
영향을 받는 온프레미스 제품을 사용하는 고객은 JDK 9 이상 실행에서 JDK 8 이하로 다운그레이드할 수 있습니다. 이것은 착취의 가능성을 제거 할 것입니다. 다음 지침은 Jira 및 Confluence에 대한 Java 버전을 변경하는 데 사용할 수 있습니다.
- Jira: https://confluence.atlassian.com/jirakb/change-the-java-version-used-by-jira-server-765594330.html
- Confluence: https://confluence.atlassian.com/doc/change-the-java-vendor-or-version-confluence-uses-962342397.html
마켓플레이스 앱이 영향을 받습니까?
업데이트:
보안 팀은 Atlassian 마켓플레이스의 모든 클라우드, 서버 및 데이터 센터 앱에 대한 조사 및 검사를 완료하여 CVE-2022-22965에 취약한지 확인했습니다.
클라우드 앱
악용 가능한 클라우드 앱은 몇 개만 발견되었습니다. 영향을 받는 각 클라우드 앱은 Atlassian 마켓플레이스에서 숨겨져 있습니다. 또한 Atlassian은 파트너가 취약성을 수정할 때까지 모든 클라우드 인스턴스에서 이러한 앱을 사용하지 않도록 일시적으로 비활성화했습니다.
데이터 센터 및 서버 앱
우리의 조사에 따르면 서버 및 데이터 센터 앱 중 일부는 Spring Framework의 취약한 버전을 활용합니다. 그러나 우리는 그들 중 누구도 착취에 필요한 전제 조건에 근거한 착취에 취약하다고 생각하지 않습니다. 많은 주의를 기울여 각 파트너에게 연락하여 보안 버그 수정 정책에 지정된 기간 내에 스프링 프레임워크를 고정 버전으로 업그레이드하도록 요구하고 있습니다. - Security Bug Fix Policy.
Atlassian 마켓플레이스에 나열되지 않은 앱은 Atlassian에서 검토하지 않습니다. 고객은 앱에서 이 CVE에 대한 정보를 얻기 위해 이러한 개발자에게 직접 문의해야 합니다.
앱 개발자는 어디에서 자세한 정보를 찾을 수 있습니까?
Attention: CVE-2022-22965 Spring Framework RCE Investigation
Atlassian 제품은 CVE-2022-22963에 취약합니까?
CVE-2022-22963은 스프링 클라우드 함수 패키지의 취약점이며 이후에 게시된 CVE-2022-22965와 관련이 없습니다. Atlassian 클라우드 인스턴스 및 온프레미스 제품은 CVE-2022-22963에 대한 알려진 익스플로잇에 취약하지 않습니다.