Atlassian 공통 보안 취약점 CVE-2022-1471

이 문서는 CVE-2022-1471 취약점에 대한 조치 방법을 공유하기 위해 작성되었다.

취약점 요약표

요약	CVE-2022-1471 - SnakeYAML library RCE Vulnerability Impacts Multiple Products
권고 릴리스 날짜	2023년 12월 05일 화요일 21:00 ET
제품	Automation for Jira app (including Server Lite edition) Bitbucket Data Center Bitbucket Server Confluence Data Center Confluence Server Confluence Cloud Migration App Jira Core Data Center Jira Core Server Jira Service Management Data Center Jira Service Management Server Jira Software Data Center Jira Software Server
CVE ID	CVE-2022-1471

취약점 요약

여러 Atlassian Data Center 및 서버 제품은 Java용 SnakeYAML 라이브러리를 사용하는데, 이는 RCE(원격 코드 실행)로 이어질 수 있는 역직렬화 결함에 취약합니다.

Atlassian Cloud 사이트는 이 취약점의 영향을 받지 않습니다. 귀하의 사이트가 atlassian.net 도메인을 통해 액세스되는 경우 해당 사이트는 Atlassian에서 호스팅되므로 이 문제에 취약하지 않습니다.

심각도

Atlassian은 이 취약점의 심각도 수준을 중요( 9.8 , 다음 벡터 CVSS: 3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:)로 평가합니다. H ) 내부 평가에 따라.
이는 우리의 평가이므로 귀하의 IT 환경에 대한 적용 가능성을 평가해야 합니다.

영향을 받는 버전

이 RCE(원격 코드 실행) 취약점은 Confluence Data Center 및 Server 4.0.0을 포함한 모든 버전에 영향을 미칩니다. Atlassian에서는 최신 버전이나 고정 LTS 버전으로 패치할 것을 권장합니다.

제품	영향을 받는 버전
Jira(A4J) Marketplace 앱 자동화 Automation for Jira(A4J) - Server Lite 마켓플레이스 앱	9.0.1 9.0.0 <= 8.2.2
Bitbucket 데이터 센터 및 서버	7.17.x 7.18.x 7.19.x 7.20.x 7.21.0 7.21.1 7.21.2 7.21.3 7.21.4 7.21.5 7.21.6 7.21.7 7.21.8 7.21.9 10.7.21 11.7.21 12.7.21 13.7.21 14.7.21 15.7.21 8.0.x 8.1.x 8.2.x 8.3.x 8.4.x 8.5.x 8.6.x 8.7.x 8.8.0 8.8.1 8.8.2 8.8.3 8.8.4 8.8.5 8.8.6 8.9.0 8.9.1 8.9.2 8.9.3 8.10.0 8.10.1 8.10.2 8.10.3 8.11.0 8.11.1 8.11.2 8.12.0
Confluence 데이터 센터 및 서버	6.13.x 6.14.x 6.15.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.0 7.13.1 7.13.2 7.13.3 7.13.4 7.13.5 7.13.6 7.13.7 7.13.8 7.13.9 7.13.10 11.7.13 12.7.13 13.7.13 7.13.14 7.13.15 16.7.13 17.13.7 7.14.x 7.15.x 7.16.x 7.17.x 7.18.x 7.19.0 7.19.1 7.19.2 7.19.3 7.19.4 7.19.5 7.19.6 7.19.7 7.19.8 7.19.9 7.20.x 8.0.x 8.1.x 8.2.x 8.3.0
Confluence Cloud 마이그레이션 앱(CCMA)	플러그인 버전이 3.4.0보다 낮습니다.
Jira 핵심 데이터 센터 및 서버 Jira Software 데이터 센터 및 서버	9.4.0 9.4.1 9.4.2 9.4.3 9.4.4 9.4.5 9.4.6 9.4.7 9.4.8 9.4.9 9.4.10 9.4.11 9.4.12 9.5.x 9.6.x 9.7.x 9.8.x 9.9.x 9.10.x 9.11.0 9.11.1
Jira Service Management 데이터 센터 및 서버	5.4.0 5.4.1 5.4.2 5.4.3 5.4.4 5.4.5 5.4.6 5.4.7 5.4.8 5.4.9 5.4.10 5.4.11 5.4.12 5.5.x 5.6.x 5.7.x 5.8.x 5.9.x 5.10.x 5.11.0 5.11.1

필요 조치 내용

Atlassian은 영향을 받는 각 제품 설치를 최신 버전이나 아래 나열된 수정 버전 중 하나로 패치할 것을 권장합니다.

제품	고정 버전
Jira(A4J) Marketplace 앱 자동화 Automation for Jira(A4J) - Server Lite 마켓플레이스 앱	다음 수정 버전 이상으로 패치 9.0.2 8.2.4 완화 UPM(Universal Plugin Manager)을 통해 업그레이드하세요. 자세한 내용은 A4J 9.0+의 주요 변경 사항을 참조하세요
Bitbucket 데이터 센터 및 서버	다음 수정 버전 이상으로 패치 7.21.16(LTS) 8.8.7 8.9.4(LTS) 8.10.4 8.11.3 8.12.1 8.13.0 8.14.0 8.15.0 (데이터 센터에만 해당) 8.16.0 (데이터 센터에만 해당) 완화 이 취약점에 대한 완화 방법은 없습니다. 즉시 업그레이드하시기 바랍니다.
Confluence 데이터 센터 및 서버	다음 수정 버전 이상으로 패치 7.19.17(LTS) 8.4.5 8.5.4(LTS) 8.6.2 (데이터 센터에만 해당) 8.7.1 (데이터 센터에만 해당) 다음 버전에서 수정되었습니다. 수정 사항은 7.13.18, 7.19.10 및 8.3.1에 포함되어 있지만 이러한 버전에는 이전에 전달된 보안 취약점 도 포함되어 있습니다. 완화 이 취약점에 대한 완화 방법은 없습니다. 즉시 업그레이드하시기 바랍니다.
Confluence Cloud 마이그레이션 앱(CCMA)	다음 수정 버전 이상으로 패치 3.4.0 완화 이 취약점에 대한 완화 방법은 없습니다. 즉시 업그레이드하시기 바랍니다.
Jira 핵심 데이터 센터 및 서버 Jira Software 데이터 센터 및 서버	다음 수정 버전 이상으로 패치 9.11.2 9.12.0(LTS) 9.4.14(LTS) 완화 제품 인스턴스를 수정 버전으로 업그레이드할 수 없는 경우 UPM(Universal Plugin Manager)을 통해 A4J(Automation for Jira) 앱을 수정 버전으로 업그레이드하면 이 취약점을 완전히 완화할 수 있습니다. 자세한 내용은 A4J 9.0+의 주요 변경 사항을 참조하세요 ( Jira 9.11+ 에도 번들로 제공됨 ).
Jira Service Management 데이터 센터 및 서버	다음 수정 버전 이상으로 패치 5.11.2 5.12.0(LTS) 5.4.14(LTS) Jira를 고정 버전으로 업그레이드하는 것도 필요합니다. 완화 제품 인스턴스를 수정 버전으로 업그레이드할 수 없는 경우 UPM(Universal Plugin Manager)을 통해 A4J(Automation for Jira) 앱을 수정 버전으로 업그레이드하면 이 취약점을 완전히 완화할 수 있습니다. 자세한 내용은 A4J 9.0+의 주요 변경 사항을 참조하세요 ( JSM 5.11+ 에도 번들로 제공됨 ).

최신 버전에 대한 전체 설명을 보려면 아래에서 해당 제품의 릴리스 노트를 참조하세요.

다운로드 센터에서 제품의 최신 버전을 다운로드할 수 있습니다.

페이지 트리

취약점 요약표

취약점 요약

심각도

영향을 받는 버전

필요 조치 내용

관련 티켓