요약 | 여러 제품에 대한 Servlet Filter Dispatcher 취약점 |
---|---|
보안 안내일 | 10:00 AM PDT (Pacific Time, -7 hours) |
영향받는 제품 |
Atlassian Cloud 사이트는 영향을 받지 않습니다.. Atlassian Cloud 사이트는 bitbucket.org 또는 atlassian.net 도메인을 사용하는 경우입니다. |
CVE ID(s) |
취약점 요약
서블릿 필터 개요
서블릿 필터는 클라이언트 요청이 백엔드 리소스로 전송되기 전에 HTTP 요청을 가로채고 처리하는 Java 코드입니다.
또한 클라이언트로 전송되기 전에 백엔드 리소스에서 HTTP 응답을 가로채고 처리하는 데 사용됩니다.
일부 서블릿 필터는 로깅, 감사, 인증 또는 권한 부여와 같은 보안 메커니즘을 제공합니다.
임의적인 서블릿 필터 우회 (CVE-2022-26136)
여러 Atlassian 제품의 취약점을 통해 인증되지 않은 원격 공격자가 자사 및 타사 앱에서 사용하는 서블릿 필터를 우회할 수 있습니다.
영향은 각 앱에서 사용하는 필터와 필터 사용 방법에 따라 달라집니다. Atlassian은 이 취약성의 잠재적인 결과를 모두 열거하지 않았으며 아래 나열된 공격만 확인했습니다.
Atlassian은 각 제품에 설치된 타사 앱을 포함하여 이 취약점의 영향을 받는 모든 제품의 근본적인 원인을 수정하는 업데이트를 릴리스했습니다.
인증 우회
특수 조작된 HTTP 요청을 보내면 인증 적용을 위해 타사 앱에서 사용하는 사용자 지정 서블릿 필터를 우회할 수 있습니다.
인증되지 않은 원격 공격자는 이를 이용하여 타사 앱에서 사용하는 인증을 우회할 수 있습니다.
Atlassian은 이 공격이 가능하다고 확인했지만 영향을 받는 모든 앱 목록을 확인하지는 않았습니다.
Cross-site scripting (XSS)
특수 조작된 HTTP 요청을 보내면 Atlassian Gadget의 유효성을 검사하는데 사용되는 서블릿 필터를 우회할 수 있으며,
이로 인해 사이트 간 스크립팅(XSS)이 발생할 수 있습니다. 공격자는 악성 URL을 요청하도록 사용자를 속일 수 있으며, 사용자의 브라우저에서 임의 Javascript를 실행할 수 있습니다.
서블릿 필터 추가 호출(CVE-2022-26137)
여러 Atlassian 제품의 취약점을 통해 인증되지 않은 원격 공격자가 애플리케이션이 요청 또는 응답을 처리할 때 서블릿 필터를 추가 호출할 수 있습니다.
Atlassian은 이 취약점과 관련하여 유일하게 알려진 보안 이슈를 확인하고 수정했습니다 .
Cross-origin resource sharing (CORS) 우회
특수 조작된 HTTP를 보내면 CORS 요청 응답에 사용되는 서블릿 필터를 호출하여 CORS 우회를 발생시킬 수 있습니다.
공격자는 사용자를 속여 악성 URL을 요청하게 할 수 있으며 공격 대상자의 권한으로 취약한 응용 프로그램에 액세스할 수 있습니다.
심각성
Atlassian 심각도 수준에 따라 이 취약점은 '심각'으로 평가됩니다.
영향을 받는 버전
제품 | 영향을 받는 버전 |
---|---|
Bamboo Server 및 Data Center |
|
Bitbucket Server 및 Data Center |
|
Confluence Server 및 Data Center |
|
Crowd Server 및 Data Center |
|
Crucible |
|
Fisheye |
|
Jira Server 및 Data Center |
|
Jira Service Management Server 및 Data Center |
|
수정 버전
Product | Fixed Versions |
---|---|
Bamboo Server 및 Data Center |
|
Bitbucket Server 및 Data Center | |
Confluence Server 및 Data Center | |
Crowd Server 및 Data Center |
|
Crucible |
|
Fisheye |
|
Jira Server 및 Data Center |
|
Jira Service Management Server 및 Data Center |
릴리즈 노트
Atlassian은 최신 버전으로 업그레이드할 것을 권장합니다. 최신 버전에 대한 전체 설명은 해당 제품의 릴리스 정보를 참조하세요.
다운로드
해결 방법
이 취약점을 수정하려면 영향을 받는 각 제품을 수정 버전 표에 나열된 버전으로 업데이트하세요.
관련 링크 : Multiple Products Security Advisory - CVE-2022-26136, CVE-2022-26137