개요
Atlassian(https://www.atlassian.com/)에서는 공급한 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.
대상 제품
CVE-2022-41966
Jira Service Management Data Center 4.20.0 버전
Jira Service Management Data Center 5.0.0 버전
Jira Service Management Data Center 5.1.0 이상 5.1.1 이하 버전
Jira Service Management Data Center 5.2.0 이상 5.2.1 이하 버전
Jira Service Management Data Center 5.3.0 이상 5.3.3 이하 버전
Jira Service Management Data Center 5.4.0 이상 5.4.17 이하 버전
Jira Service Management Data Center 5.5.0 이상 5.5.1 이하 버전
Jira Service Management Data Center 5.6.0 버전
Jira Service Management Data Center 5.7.0 이상 5.7.1 이하 버전
Jira Service Management Server 4.20.0 버전
Jira Service Management Server 5.0.0 버전
Jira Service Management Server 5.1.0 이상 5.1.1 이하 버전
Jira Service Management Server 5.2.0 이상 5.2.1 이하 버전
Jira Service Management Server 5.3.0 이상 5.3.3 이하 버전
Jira Service Management Server 5.4.0 이상 5.4.17 이하 버전
Jira Service Management Server 5.5.0 이상 5.5.1 이하 버전
Jira Service Management Server 5.6.0 버전
Jira Service Management Server 5.7.0 이상 5.7.1 이하 버전
Jira Software Data Center 8.20.0 버전
Jira Software Data Center 9.0.0 버전
Jira Software Data Center 9.1.0 이상 9.1.1 이하 버전
Jira Software Data Center 9.1.1 버전
Jira Software Data Center 9.2.0 이상 9.2.1 이하 버전
Jira Software Data Center 9.2.1 버전
Jira Software Data Center 9.3.0 이상 9.3.3 이하 버전
Jira Software Data Center 9.3.3 버전
Jira Software Data Center 9.4.0 이상 9.4.17 이하 버전
Jira Software Data Center 9.4.17 버전
Jira Software Data Center 9.5.0 이상 9.5.1 이하 버전
Jira Software Data Center 9.5.1 버전
Jira Software Data Center 9.6.0 버전
Jira Software Data Center 9.7.0 이상 9.7.1 이하 버전
Jira Software Data Center 9.7.1 버전
Jira Software Server 8.20.0 버전
Jira Software Server 9.0.0 버전
Jira Software Server 9.1.0 이상 9.1.1 이하 버전
Jira Software Server 9.2.0 이상 9.2.1 이하 버전
Jira Software Server 9.3.0 이상 9.3.3 이하 버전
Jira Software Server 9.4.0 이상 9.4.17 이하 버전
Jira Software Server 9.5.0 이상 9.5.1 이하 버전
Jira Software Server 9.6.0 버전
Jira Software Server 9.7.0 이상 9.7.1 이하 버전
CVE-2024-21687
Bamboo Data Center and Server 버전: 9.6.0(포함) ~ 9.6.3 LTS(포함)
Bamboo Data Center and Server 버전: 9.5.0(포함) ~ 9.5.2(포함)
Bamboo Data Center and Server 버전: 9.4.0(포함) ~ 9.4.3(포함)
Bamboo Data Center and Server 버전: 9.3.0(포함) ~ 9.3.6(포함)
Bamboo Data Center and Server 버전: 9.2.0(포함) ~ 9.2.15 LTS(포함)
Bamboo Data Center and Server 버전: 9.1.0(포함) ~ 9.1.3(포함)
Bamboo Data Center and Server 버전: 9.0.0(포함) ~ 9.0.4(포함)
CVE-2024-21686
Confluence Data Center 버전: ~ 8.9.0(포함)
Confluence Data Center 버전: 8.8.0(포함) ~ 8.8.1(포함)
Confluence Data Center 버전: 8.7.0(포함) ~ 8.7.2(포함)
Confluence Data Center 버전: 8.6.0(포함) ~ 8.6.2(포함)
Confluence Data Center 버전: 8.5.0(포함) ~ 8.5.8 LTS(포함)
Confluence Data Center 버전: 8.4.0(포함) ~ 8.4.5(포함)
Confluence Data Center 버전: 8.3.0(포함) ~ 8.3.4(포함)
Confluence Data Center 버전: 8.2.0(포함) ~ 8.2.3(포함)
Confluence Data Center 버전: 8.1.0(포함) ~ 8.1.4(포함)
Confluence Data Center 버전: 8.0.0(포함) ~ 8.0.4(포함)
Confluence Data Center 버전: 7.20.0(포함) ~ 7.20.3(포함)
Confluence Data Center 버전: 7.19.0(포함) ~ 7.19.21 LTS(포함)
Confluence Data Center 버전: 7.18.0(포함) ~ 7.18.3(포함)
Confluence Data Center 버전: 7.17.0(포함) ~ 7.17.5(포함)
Confluence Server 버전: 8.5.0(포함) ~ 8.5.8 LTS(포함)
Confluence Server 버전: 8.4.0(포함) ~ 8.4.5(포함)
Confluence Server 버전: 8.3.0(포함) ~ 8.3.4(포함)
Confluence Server 버전: 8.2.0(포함) ~ 8.2.3(포함)
Confluence Server 버전: 8.1.0(포함) ~ 8.1.4(포함)
Confluence Server 버전: 8.0.0(포함) ~ 8.0.4(포함)
Confluence Server 버전: 7.20.0(포함) ~ 7.20.3(포함)
Confluence Server 버전: 7.19.0(포함) ~ 7.19.21 LTS(포함)
Confluence Server 버전: 7.18.0(포함) ~ 7.18.3(포함)
Confluence Server 버전: 7.17.0(포함) ~ 7.17.5(포함)
해결된 취약점
Jira Software Data Center/Server에서 발생하는 서비스 거부 공격이 가능한 취약점 (CVE-2022-41966, CVSS 7.5) [1]
Bamboo Data Center and Server에서 발생하는 인증된 공격자가 로컬 파일의 내용을 표시하거나 서버에 이미 로컬로 저장된 다른 파일을 실행하도록 애플리케이션을 얻을 수 있는 취약점(CVE-2024-21687)
Confluence Data Center/Server에서 발생하는 인증된 공격자가 피해자의 브라우저에서 임의의 HTML 또는 JavaScript 코드를 실행할 수 있는 취약점(CVE-2024-21686)
취약점 패치
07월 16일 게시된 보안 권고에 따라 해당 버전 및 최신 버전으로 업데이트 하시기 바랍니다.
CVE-2022-41966
Jira Service Management Data Center 5.4.18 버전
Jira Service Management Data Center 5.8.0 버전
Jira Service Management Data Center 5.12.0 버전
Jira Service Management Server 5.4.18 버전
Jira Service Management Server 5.8.0 버전
Jira Service Management Server 5.12.0 버전
Jira Software Data Center 9.4.18 버전
Jira Software Data Center 9.7.2 버전
Jira Software Data Center 9.8.0 버전
Jira Software Data Center 9.12.0 버전
Jira Software Server 9.4.18 버전
Jira Software Server 9.8.0 버전
Jira Software Server 9.12.0 버전
CVE-2024-21687
Bamboo Data Center and Server 버전: 9.6.4 LTS
Bamboo Data Center and Server 버전: 9.6.4 LTS
Bamboo Data Center and Server 버전: 9.6.4 LTS
Bamboo Data Center and Server 버전: 9.6.4 LTS
Bamboo Data Center and Server 버전: 9.6.4 LTS 또는 9.2.16 LTS
Bamboo Data Center and Server 버전: 9.6.4 LTS 또는 9.2.16 LTS
Bamboo Data Center and Server 버전: 9.6.4 LTS 또는 9.2.16 LTS
CVE-2024-21686
Confluence Data Center 버전: 8.9.1
Confluence Data Center 버전: 8.9.1
Confluence Data Center 버전: 8.9.1
Confluence Data Center 버전: 8.9.1
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS or 7.19.22 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS or 7.19.22 LTS
Confluence Data Center 버전: 8.9.1 or 8.5.9 LTS or 7.19.22 LTS
Confluence Server 버전: 8.5.9 LTS
Confluence Server 버전: 8.5.9 LTS
Confluence Server 버전: 8.5.9 LTS
Confluence Server 버전: 8.5.9 LTS
Confluence Server 버전: 8.5.9 LTS
Confluence Server 버전: 8.5.9 LTS
Confluence Server 버전: 8.5.9 LTS
Confluence Server 버전: 8.5.9 LTS or 7.19.22 LTS
Confluence Server 버전: 8.5.9 LTS or 7.19.22 LTS
Confluence Server 버전: 8.5.9 LTS or 7.19.22 LTS
참고 사이트
[1] DoS (Denial of Service) com.thoughtworks.xstream:xstream Dependency in Jira Software Data Center and Server
https://jira.atlassian.com/browse/JSWSERVER-25951
[2] Atlassian Security Advisories & Bulletins
https://www.atlassian.com/trust/security/advisories
[3] CVE-2024-21687 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-21687
[4] Security Bulletin – July 16 2024
https://confluence.atlassian.com/security/security-bulletin-july-16-2024-1417150917.html
[5] CVE-2024-21686 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-21686
[6] Stored XSS in Confluence Data Center and Server