반응형 JIRA2 [패치 및 업데이트] 지라(Jira) 원격코드실행 취약점 보안 업데이트 권고 □ 개요 아틀라시안社는 지라(Jira) 제품에 대해 원격코드 행 취약점을 해결한 보안 업데이트를 공지[1] 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 이용자들은 최신 버전으로 업데이트 권고 □ 설명 지라 서버 및 데이터 센터의 ContactAdministrators 및 SendBulkMail 기능에서 발생하는 템플릿 삽입 취약점(CVE-2019-11581) + Contact Administrators에서 발생하는 취약점은 공격자가 인증 없이 공격을 수행할 수 있으나 SendBulkMail의 경우 공격을 위해서는 관리자 권한이 필요 취약점이 발현되기 위해서는 아래의 두가지 조건 중 하나를 만족해야 함 + 지라에 SMTP 서버가 설정되어 있고 ContactAdministrators 폼이 .. 2019. 8. 20. Project관리 S/W, JIRA 설정 오류로 수많은 정보 노출 프로젝트 관리 소프트웨어라면 떠오르는 것이 있다. 이미 제목을 봐도 알겠지만 인기 높은 지라(JIRA)이다. 이 지라가 설정 오류로 인하여 수천 개 회사의 데이터가 노출됐다. 이를 발견한 보안 전문가 아비나시 제인(Avinash Jain)이 이러한 현상을 알렸다. 전 세계 13만 5천 개가 넘는 기업들이 사용하는 지라는 여러 정부기관들도 사용하고 있었고, 유럽연합 정부 기관들과 관련된 포털에서도 중요한 정보가 노출되었다고 제인은 밝혔다. 제인은 구글 검색 엔진을 사용하여 지라의 링크와 URL을 찾아낼 수 있었고, 지라 설정을 잘못해 현재 인터넷에 각종 자료를 노출시키고 있는 기업은 수천에 달한다고 강조했다. 제인은 이 사실을 여러 회사에 알려, 일부는 문제가 된 부분을 해결했으나, 답변을 하지 않은 회사.. 2019. 8. 6. 728x90 이전 1 다음
