Atlassian Á¦Ç° Ãë¾àÁ¡, ÀÎÁõµÇÁö ¾ÊÀº ¿ø°Ý °ø°ÝÀÚ°¡ Confluence¿¡ ·Î±×ÀÎ
[º¸¾È´º½º ±âȹÃëÀçÆÀ] ¹Ì±¹ »çÀ̹ö º¸¾È ¹× ÀÎÇÁ¶ó º¸¾È±¹(CISA)ÀÌ ¾Û Çϵå ÄÚµùµÈ ÀÚ°Ý Áõ¸í Ãë¾àÁ¡ÀÎ CVE-2022-26318À» ¡®¾Ë·ÁÁø ¾Ç¿ëµÈ Ãë¾àÁ¡(Known Exploited Vulnerabilities)¡¯ Ä«´Þ·Î±×¿¡ Ãß°¡Çß´Ù. ¡®¾Ë·ÁÁø ¾Ç¿ë Ãë¾àÁ¡¡¯ Ä«Å»·Î±×¶õ CISA°¡ ¾Ç¿ë µÇ´Â °ÍÀ¸·Î ½Äº°Ç߰ųª ½ÇÁ¦ °ø°ÝÀÚ°¡ »ç¿ëÇÑ Ãë¾àÁ¡ ¸ñ·ÏÀÌ´Ù.
¡ãCVE-2022-26318 Ãë¾àÁ¡ °ü·ÃÇØ ¾÷µ¥ÀÌÆ® ¾È³» ȸé[À̹ÌÁö=confluence »çÀÌÆ®]
À̹ø¿¡ Ãß°¡µÈ CVE-2022-26318 Ãë¾àÁ¡Àº Confluence ¼¹ö ¹× µ¥ÀÌÅÍ ¼¾ÅÍ¿ë Atlassian Questions For Confluence ¾Û¿¡ »ç¿ëÀÚ À̸§ disabledsystemuser¿Í ÇϵåÄÚµùµÈ ºñ¹Ð¹øÈ£¸¦ »ç¿ëÇØ confluence-users ±×·ì¿¡ Confluence »ç¿ëÀÚ °èÁ¤À» »ý¼ºÇÑ´Ù. ±×·±µ¥ ÇϵåÄÚµùµÈ ¾ÏÈ£¸¦ ¾Ë°í ÀÖ´Â ÀÎÁõµÇÁö ¾ÊÀº ¿ø°Ý °ø°ÝÀÚ°¡ À̸¦ ¾Ç¿ëÇØ Confluence¿¡ ·Î±×ÀÎÇÏ°í confluence-users ±×·ìÀÇ »ç¿ëÀÚ°¡ Á¢±ÙÇÒ ¼ö ÀÖ´Â ¸ðµç ÄÜÅÙÃ÷¿¡ Á¢±ÙÇÒ ¼ö ÀÖ´Ù.
¶ÇÇÑ, AtlassianÀº CVE-2022-26318 ¿Ü¿¡µµ CVE-2022-26136°ú CVE-2022-26137À» ¹ßÇ¥Çß´Ù. CVE-2022-26136Àº ¿©·¯ Atlassian Á¦Ç°ÀÇ Ãë¾àÁ¡À¸·Î ÀÎÇØ ÀÎÁõµÇÁö ¾ÊÀº ¿ø°Ý °ø°ÝÀÚ°¡ ÀÚ»ç ¹× Å¸»ç ¾Û¿¡¼ »ç¿ëÇÏ´Â ¼ºí¸´ ÇÊÅ͸¦ ¿ìȸÇÒ ¼ö ÀÖ´Ù. ¿µÇâÀº °¢ ¾Û¿¡¼ »ç¿ëÇÏ´Â ÇÊÅÍ¿Í ÇÊÅÍ »ç¿ë ¹æ¹ý¿¡ µû¶ó ´Ù¸£Áö¸¸ ÇØ´ç Ãë¾àÁ¡À¸·Î ÀÎÇØ ÀÎÁõ ¿ìȸ ¹× »çÀÌÆ® °£ ½ºÅ©¸³ÆÃÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù.
CVE-2022-26137µµ ¿©·¯ Atlassian Á¦Ç°ÀÇ Ãë¾àÁ¡À¸·Î ÀÎÇØ ÀÎÁõµÇÁö ¾ÊÀº ¿ø°Ý °ø°ÝÀÚ°¡ ¾ÖÇø®ÄÉÀ̼ÇÀÌ ¿äû ¶Ç´Â ÀÀ´äÀ» ó¸®ÇÒ ¶§ Ãß°¡ ¼ºí¸´ ÇÊÅÍ°¡ È£ÃâµÇµµ·Ï ÇÒ ¼ö ÀÖ´Ù. Ư¼öÇÏ°Ô Á¶ÀÛµÈ HTTP ¿äûÀ» º¸³»¸é CORS ¿äû¿¡ ÀÀ´äÇÏ´Â µ¥ »ç¿ëµÇ´Â ¼ºí¸´ ÇÊÅÍ°¡ È£ÃâµÇ¾î CORS ¿ìȸ°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. »ç¿ëÀÚ¸¦ ¼Ó¿© ¾Ç¼º URLÀ» ¿äûÇϵµ·Ï ÇÒ ¼ö ÀÖ´Â °ø°ÝÀÚ´Â ÇÇÇØÀÚÀÇ ±ÇÇÑÀ¸·Î Ãë¾àÇÑ ¾ÖÇø®ÄÉÀ̼ǿ¡ ¾×¼¼½ºÇÒ ¼ö ÀÖ´Ù.
ÀÌ¿¡ ´ëÇØ À̽ºÆ®½ÃÅ¥¸®Æ¼´Â 1ÀÏ Ãë¾àÁ¡ ÁÖÀÇ¿¡ ´ëÇØ ¾È³»ÇÏ¸ç ¡°ÇØ´ç Ãë¾àÁ¡Àº ÀÌ¹Ì ÆÐÄ¡°¡ °ø°³µÇ¾î Ãë¾àÇÑ ¹öÀüÀ» »ç¿ëÇÏ´Â »ç¿ëÀÚÀÇ °æ¿ì ºü¸¥ ÆÐÄ¡¸¦ ÇØ¾ß ÇÑ´Ù¡±°í ±Ç°íÇß´Ù.
¿µÇâ¹Þ´Â ¹öÀüÀº ´ÙÀ½°ú °°´Ù.
ÇϵåÄÚµùµÈ ºñ¹Ð¹øÈ£(CVE-2022-26318)
¡âQuestions For Confluence :
-2.7.34, 2.7.35, 3.0.2 ¹öÀü
´ÙÁß ¼Çø´ ÇÊÅÍ Ãë¾àÁ¡(CVE-2022-26136 , CVE-2022-26137)
¡âBamboo Server, Bamboo Data Center :
-7.2.9 ¹Ì¸¸ ¹öÀü
-8.0.x ~ 8.0.9 ¹Ì¸¸ ¹öÀü
-8.1.x ~ 8.1.8 ¹Ì¸¸ ¹öÀü
-8.2.x ~ 8.2.4 ¹Ì¸¸ ¹öÀü
¡âBitbucket Server, Bitbucket Data Center :
- 7.6.16 ¹Ì¸¸ ¹öÀü
- 7.7.x ~ 7.16.x ¸ðµç ¹öÀü
- 7.17.x ~ 7.17.8 ¹Ì¸¸ ¹öÀü
- 7.18.x ¸ðµç ¹öÀü
- 7.19.x ~ 7.19.5 ¹Ì¸¸ ¹öÀü
- 7.20.x ~ 7.20.2 ¹Ì¸¸ ¹öÀü
- 7.21.x ~ 7.21.2 ¹Ì¸¸ ¹öÀü
- 8.0.0 ¹öÀü
- 8.1.0 ¹öÀü
¡âConfluence Server, Confluence Data Center :
-7.4.17 ¹Ì¸¸ ¹öÀü
-7.5.x ~ 7.12.x ¸ðµç ¹öÀü
-7.13.x ~ 7.13.7 ¹Ì¸¸ ¹öÀü
-7.14.x ~ 7.14.3 ¹Ì¸¸ ¹öÀü
-7.15.x ~ 7.15.2 ¹Ì¸¸ ¹öÀü
-7.16.x ~ 7.16.4 ¹Ì¸¸ ¹öÀü
-7.17.x ~ 7.17.4 ¹Ì¸¸ ¹öÀü
-7.18.0 ¹öÀü
¡âCrowd Server, Crowd Data Center :
-4.3.8 ¹Ì¸¸ ¹öÀü
-4.4.x ~ 4.4.2 ¹Ì¸¸ ¹öÀü
-5.0.0 ¹öÀü
¡âCrucible, Fisheye :
-4.8.10 ¹Ì¸¸ ¹öÀü
¡âJira Core Server, Jira Software Server, Jira Software Data Center :
-8.13.22 ¹Ì¸¸ ¹öÀü
-8.14.x ~ 8.19.x ¸ðµç ¹öÀü
-8.20.x ~ 8.20.10 ¹Ì¸¸ ¹öÀü
-8.21.x ¸ðµç ¹öÀü
-8.22.x ~ 8.22.4 ¹Ì¸¸ ¹öÀü
*8.22.4 ¹öÀüÀÇ °æ¿ì ¿µÇâÀ» ¹ÞÁö ¾ÊÁö¸¸, °ü·Ã¾ø´Â ¾ÈÀüÇÏÁö ¾ÊÀº ¹ö±×°¡ Æ÷ÇԵǾî ÀÖÀ½
¡âJira Service Management Server, Jira Service Management Data Center :
-4.13.22 ¹Ì¸¸ ¹öÀü
-4.14.x ~ 4.19.x ¸ðµç ¹öÀü
-4.20.x ~ 4.20.10 ¹Ì¸¸ ¹öÀü
-4.21.x ¸ðµç ¹öÀü
-4.22.x ~ 4.22.4 ¹Ì¸¸ ¹öÀü
[±âȹÃëÀçÆÀ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>