보안 권고문

Atlassian 제품군 2024년 07월 보안 업데이트 권고

개요

 

Atlassian(https://www.atlassian.com/)에서는 공급한 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.

 

대상 제품

 

CVE-2022-41966

Jira Service Management Data Center 4.20.0 버전

Jira Service Management Data Center 5.0.0 버전

Jira Service Management Data Center 5.1.0 이상 5.1.1 이하 버전

Jira Service Management Data Center 5.2.0 이상 5.2.1 이하 버전

Jira Service Management Data Center 5.3.0 이상 5.3.3 이하 버전

Jira Service Management Data Center 5.4.0 이상 5.4.17 이하 버전

Jira Service Management Data Center 5.5.0 이상 5.5.1 이하 버전

Jira Service Management Data Center 5.6.0 버전

Jira Service Management Data Center 5.7.0 이상 5.7.1 이하 버전

Jira Service Management Server 4.20.0 버전

Jira Service Management Server 5.0.0 버전

Jira Service Management Server 5.1.0 이상 5.1.1 이하 버전

Jira Service Management Server 5.2.0 이상 5.2.1 이하 버전

Jira Service Management Server 5.3.0 이상 5.3.3 이하 버전

Jira Service Management Server 5.4.0 이상 5.4.17 이하 버전

Jira Service Management Server 5.5.0 이상 5.5.1 이하 버전

Jira Service Management Server 5.6.0 버전

Jira Service Management Server 5.7.0 이상 5.7.1 이하 버전

Jira Software Data Center 8.20.0 버전

Jira Software Data Center 9.0.0 버전

Jira Software Data Center 9.1.0 이상 9.1.1 이하 버전

Jira Software Data Center 9.1.1 버전

Jira Software Data Center 9.2.0 이상 9.2.1 이하 버전

Jira Software Data Center 9.2.1 버전

Jira Software Data Center 9.3.0 이상 9.3.3 이하 버전

Jira Software Data Center 9.3.3 버전

Jira Software Data Center 9.4.0 이상 9.4.17 이하 버전

Jira Software Data Center 9.4.17 버전

Jira Software Data Center 9.5.0 이상 9.5.1 이하 버전

Jira Software Data Center 9.5.1 버전

Jira Software Data Center 9.6.0 버전

Jira Software Data Center 9.7.0 이상 9.7.1 이하 버전

Jira Software Data Center 9.7.1 버전

Jira Software Server 8.20.0 버전

Jira Software Server 9.0.0 버전

Jira Software Server 9.1.0 이상 9.1.1 이하 버전

Jira Software Server 9.2.0 이상 9.2.1 이하 버전

Jira Software Server 9.3.0 이상 9.3.3 이하 버전

Jira Software Server 9.4.0 이상 9.4.17 이하 버전

Jira Software Server 9.5.0 이상 9.5.1 이하 버전

Jira Software Server 9.6.0 버전

Jira Software Server 9.7.0 이상 9.7.1 이하 버전

CVE-2024-21687

Bamboo Data Center and Server 버전: 9.6.0(포함) ~ 9.6.3 LTS(포함)

Bamboo Data Center and Server 버전: 9.5.0(포함) ~ 9.5.2(포함)

Bamboo Data Center and Server 버전: 9.4.0(포함) ~ 9.4.3(포함)

Bamboo Data Center and Server 버전: 9.3.0(포함) ~ 9.3.6(포함)

Bamboo Data Center and Server 버전: 9.2.0(포함) ~ 9.2.15 LTS(포함)

Bamboo Data Center and Server 버전: 9.1.0(포함) ~ 9.1.3(포함)

Bamboo Data Center and Server 버전: 9.0.0(포함) ~ 9.0.4(포함)

 

CVE-2024-21686

Confluence Data Center 버전: ~ 8.9.0(포함)

Confluence Data Center 버전: 8.8.0(포함) ~ 8.8.1(포함)

Confluence Data Center 버전: 8.7.0(포함) ~ 8.7.2(포함)

Confluence Data Center 버전: 8.6.0(포함) ~ 8.6.2(포함)

Confluence Data Center 버전: 8.5.0(포함) ~ 8.5.8 LTS(포함)

Confluence Data Center 버전: 8.4.0(포함) ~ 8.4.5(포함)

Confluence Data Center 버전: 8.3.0(포함) ~ 8.3.4(포함)

Confluence Data Center 버전: 8.2.0(포함) ~ 8.2.3(포함)

Confluence Data Center 버전: 8.1.0(포함) ~ 8.1.4(포함)

Confluence Data Center 버전: 8.0.0(포함) ~ 8.0.4(포함)

Confluence Data Center 버전: 7.20.0(포함) ~ 7.20.3(포함)

Confluence Data Center 버전: 7.19.0(포함) ~ 7.19.21 LTS(포함)

Confluence Data Center 버전: 7.18.0(포함) ~ 7.18.3(포함)

Confluence Data Center 버전: 7.17.0(포함) ~ 7.17.5(포함)

 

Confluence Server 버전: 8.5.0(포함) ~ 8.5.8 LTS(포함)

Confluence Server 버전: 8.4.0(포함) ~ 8.4.5(포함)

Confluence Server 버전: 8.3.0(포함) ~ 8.3.4(포함)

Confluence Server 버전: 8.2.0(포함) ~ 8.2.3(포함)

Confluence Server 버전: 8.1.0(포함) ~ 8.1.4(포함)

Confluence Server 버전: 8.0.0(포함) ~ 8.0.4(포함)

Confluence Server 버전: 7.20.0(포함) ~ 7.20.3(포함)

Confluence Server 버전: 7.19.0(포함) ~ 7.19.21 LTS(포함)

Confluence Server 버전: 7.18.0(포함) ~ 7.18.3(포함)

Confluence Server 버전: 7.17.0(포함) ~ 7.17.5(포함)

 

해결된 취약점

 

Jira Software Data Center/Server에서 발생하는 서비스 거부 공격이 가능한 취약점 (CVE-2022-41966, CVSS 7.5) [1]

Bamboo Data Center and Server에서 발생하는 인증된 공격자가 로컬 파일의 내용을 표시하거나 서버에 이미 로컬로 저장된 다른 파일을 실행하도록 애플리케이션을 얻을 수 있는 취약점(CVE-2024-21687)

Confluence Data Center/Server에서 발생하는 인증된 공격자가 피해자의 브라우저에서 임의의 HTML 또는 JavaScript 코드를 실행할 수 있는 취약점(CVE-2024-21686)

 

취약점 패치

 

07월 16일 게시된 보안 권고에 따라 해당 버전 및 최신 버전으로 업데이트 하시기 바랍니다.

 

CVE-2022-41966

Jira Service Management Data Center 5.4.18 버전

Jira Service Management Data Center 5.8.0 버전

Jira Service Management Data Center 5.12.0 버전

Jira Service Management Server 5.4.18 버전

Jira Service Management Server 5.8.0 버전

Jira Service Management Server 5.12.0 버전

Jira Software Data Center 9.4.18 버전

Jira Software Data Center 9.7.2 버전

Jira Software Data Center 9.8.0 버전

Jira Software Data Center 9.12.0 버전

Jira Software Server 9.4.18 버전

Jira Software Server 9.8.0 버전

Jira Software Server 9.12.0 버전

 

CVE-2024-21687

Bamboo Data Center and Server 버전: 9.6.4 LTS

Bamboo Data Center and Server 버전: 9.6.4 LTS

Bamboo Data Center and Server 버전: 9.6.4 LTS

Bamboo Data Center and Server 버전: 9.6.4 LTS

Bamboo Data Center and Server 버전: 9.6.4 LTS 또는 9.2.16 LTS

Bamboo Data Center and Server 버전: 9.6.4 LTS 또는 9.2.16 LTS

Bamboo Data Center and Server 버전: 9.6.4 LTS 또는 9.2.16 LTS

 

CVE-2024-21686

Confluence Data Center 버전: 8.9.1

Confluence Data Center 버전: 8.9.1

Confluence Data Center 버전: 8.9.1

Confluence Data Center 버전: 8.9.1

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS or 7.19.22 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS or 7.19.22 LTS

Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS or 7.19.22 LTS

 

Confluence Server 버전: 8.5.9 LTS

Confluence Server 버전: 8.5.9 LTS

Confluence Server 버전: 8.5.9 LTS

Confluence Server 버전: 8.5.9 LTS

Confluence Server 버전: 8.5.9 LTS

Confluence Server 버전: 8.5.9 LTS

Confluence Server 버전: 8.5.9 LTS

Confluence Server 버전: 8.5.9 LTS or 7.19.22 LTS

Confluence Server 버전: 8.5.9 LTS or 7.19.22 LTS

Confluence Server 버전: 8.5.9 LTS or 7.19.22 LTS

 

참고 사이트

 

[1] DoS (Denial of Service) com.thoughtworks.xstream:xstream Dependency in Jira Software Data Center and Server

https://jira.atlassian.com/browse/JSWSERVER-25951

[2] Atlassian Security Advisories & Bulletins

https://www.atlassian.com/trust/security/advisories

[3] CVE-2024-21687 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-21687

[4] Security Bulletin – July 16 2024

https://confluence.atlassian.com/security/security-bulletin-july-16-2024-1417150917.html

[5] CVE-2024-21686 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-21686

[6] Stored XSS in Confluence Data Center and Server

https://jira.atlassian.com/browse/CONFSERVER-96134