好不容易修复Jira与Confluence等云计算服务,Atlassian本周又发出安全公告,修补Jira组件一个重大的验证绕过漏洞。
这项编号CVE-2022-0540的漏洞为Jira及Jira Service Management的Web验证框架Seraph内的验证绕过漏洞,可让未获授权的攻击者发送恶意HTTP调用绕过插件模块WebWork action的验证以执行指令。Atlassian将本漏洞严重等级列为重大(critical)。
这项漏洞影响本地部署的Jira产品包括Jira Core Server、Jira Software Server及Jira Software Data Center(8.13.18以前、8.14.x到8.20.6及8.21.x版);Jira Service Management Versions(4.13.18以前、4.14.x到4.20.6及4.21.x版)。
值得注意的是,这项漏洞虽位于Jira核心,实则影响2个App,开采条件是这些App的组态不当,包括Webwork1 action namespace level指定roles-required、在action level却未指定,同时该Webwork1 action没有做其他验证。
受影响的App包括Insight–Asset Management,包括Atlassian Marketplace下载的8.10.0以前版本,及Jira Service Management Server和Data Center 4.15.0(以后版本)搭载的版本。另一个是Mobile Plugin for Jira,搭载于Jira Server、Jira Software Server、Data Center 8.0.0(版本以后)及Jira Service Management Server、Data Center 4.0.0(以后版本)。
不过Atlassian指出,Jira Cloud及Jira Serve Management Cloud都不受影响。
Atlassian已发布最新版Jira及Jira Service Management,呼吁用户尽快更新到最新版本。
上周Atlassian才在2星期的抢修下,使本月初断线的网站恢复上线。受影响的云计算服务涵盖Jira Software、Confluence、Bitbucket、Trello云计算版等出现网站停机情况。上周Atlassian说明原因并非网络攻击,而是两个维护团队沟通不良及使用的操作指令错误,导致近400网站资料被删。根据该公司网站,除Atlassian Develops服务及状态页外,其他对用户服务大都恢复正常。