一、漏洞概述
2022年4月21日,绿盟科技CERT监测到Atlassian官方发布安全通告,修复了Jira 的 Web 身份认证框架 Jira Seraph 中存在的一个身份验证绕过漏洞。未经身份验证的远程攻击者可以通过向目标系统发送特制的 HTTP 请求,在受影响的配置上绕过WebWork操作中的身份验证要求。根据官方描述,该漏洞在默认配置中也可以被利用。仅影响 Jira Server 与 Jira Data Center ,而Jira Cloud 不受影响。
JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
参考链接:
https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
二、影响范围
受影响版本
Jira Core Server/Jira Software Server/Jira Software Data Center
- Jira所有版本 < 8.13.18
- Jira 8.14.x
- Jira 8.15.x
- Jira 8.16.x
- Jira 8.17.x
- Jira 8.18.x
- Jira 8.19.x
- Jira 8.20.x < Jira 8.20.6
- Jira 8.21.x
Jira Service Management Server/Jira Service Management Data Center
- Jira Service Management所有版本 < 4.13.18
- Jira Service Management 4.14.x
- Jira Service Management 4.15.x
- Jira Service Management 4.16.x
- Jira Service Management 4.17.x
- Jira Service Management 4.18.x
- Jira Service Management 4.19.x
- Jira Service Management 4.20.6 < Jira Service Management 4.20.x
- Jira Service Management 4.21.x
不受影响版本
Jira Core Server/Jira Software Server/Jira Software Data Center
- Jira 8.13.x > = Jira 8.13.18
- Jira 8.20.x > = Jira 8.20.6
- Jira所有版本 > = 8.22.0
Jira Service Management Server/Jira Service Management Data Center
- Jira Service Management 4.13.x > = Jira Service Management 4.13.18
- Jira Service Management 4.20.x > = Jira Service Management 4.20.6
- Jira Service Management所有版本 > = 4.22.0
三、 漏洞防护
3.1 官方升级
目前 Atlassian 官方已发布安全版本修复了此漏洞,建议用户升级至最新版本进行防护。下载链接:
Jira Core Server:
https://www.atlassian.com/software/jira/core/download
Jira Software Data Center:
https://www.atlassian.com/software/jira/update
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。