개요
Atlassian 제품군에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2022-26133
- Bitbucket Data Center 5.14.x 이상의 모든 5.x 버전
- Bitbucket Data Center 모든 6.x 버전
- Bitbucket Data Center 7.6.14 미만의 모든 7.x 버전
- Bitbucket Data Center 7.7.x 이상부터 7.16.x 이하의 모든 버전
- Bitbucket Data Center 7.17.6 미만의 7.17.x 버전
- Bitbucket Data Center 7.18.4 미만의 7.18.x 버전
- Bitbucket Data Center 7.19.4 미만의 7.19.x 버전
- Bitbucket Data Center 7.20.0 버전
CVE-2016-10750
- Confluence Data Center 5.6.x 이상의 모든 버전 (클러스터링 활성화 시에)
CVE-2021-26077
- Atlassian Connect Spring Boot 1.1.0 이상의 2.1.2 이하의 버전
- Atlassian Connect Spring Boot 2.1.4 버전
CVE-2018-11233 (Windows에서 실행되는 Bitbucket 서버 리포지토리에서 fsckObjects 옵션을 확성화한 경우)
- Bitbucket Server Git 2.17.1 버전
- Bitbucket Server Git 2.16.4 버전
- Bitbucket Server Git 2.15.2 버전
- Bitbucket Server Git 2.14.4 버전
- Bitbucket Server Git 2.13.7 버전
CVE 2018-11233 (Windows에서 실행되는 Bamboo 리포지토리에서 또는 전역적으로 fsckObjects 옵션을 활성화한 경우), CVE-2018-11235
- Bamboo Git 2.17.1 버전
- Bamboo Git 2.16.4 버전
- Bamboo Git 2.15.2 버전
- Bamboo Git 2.14.4 버전
- Bamboo Git 2.13.7 버전
CVE-2023-22514
- Mac용 Sourcetree 및 Windows용 Sourcetree 3.4.14 버전
CVE-2021-26073
- Atlassian Connect Express 3.0.2 이상의 6.5.0 이하의 버전
CVE-2022-3509
- Jira Service Management Data Center 및 Server 4.20.0 , 4.20.1 , 4.20.2 , 4.20.3 , 4.20.4 , 4.20.5 , 4.20.6 , 4.20.7 , 4.20.8 , 4.20.9 , 4.20.10 , 4.20.11 , 4.20.12 , 4.20.13 , 4.20.14 , 5.4.0 , 4.20.15 , 5.4.1 , 4.20.16 , 5.5.1 , 4.20.17 , 5.4.2 , 5.6.0 , 5.4.3 , 4.20 .18 , 5.7.0 , 4.20.19 , 5.4.4 , 5.8.0 , 4.20.20 , 4.20.21 , 5.4.5 , 4.20.22 , 5.4.6 , 5.9.0 , 4.20.23 , 5.4.7 , 4.20.24 , 5.4.8, 5.10.0 , 4.20.25 , 5.4.9 , 5.4.10 , 4.20.26 버전
CVE-2023-22516
- Bamboo Data Center and Server 8.1.1, 8.1.2, 8.2.0, 8.1.3, 8.1.4, 8.2.1, 8.1.5, 8.2.2, 8.1.6, 9.0.0, 8.1.7, 8.2.3, 8.2.4, 8.1.9, 8.2.5, 8.2.6, 8.1.10, 9.0.1, 9.1.0, 8.1.11, 8.2.7, 9.0.2, 9.3.0, 9.1.1, 9.2.1, 9.1.2, 8.2.8, 9.0.3, 8.1.12, 9.2.3, 9.1.3, 8.2.9, 9.3.1, 9.2.4, 9.3.2, 9.2.5, 9.3.3, 9.2.6, 8.1.0 버전
CVE-2023-22521
- Crowd Data Center 및 Server 3.4.6, 5.2.0 버전
CVE-2022-41704
- Confluence Data Center 및 Server 7.13.0, 7.13.1, 7.13.2, 7.13.3, 7.13.4, 7.13.5, 7.13.6, 7.13.7, 7.13.8, 7.13.9, 7.13.10, 7.13.11, 7.13.12, 7.19.0, 7.19.1, 7.19.2, 7.19.3, 7.19.4, 7.19.5, 7.13.13, 7.19.6, 7.13.14, 7.13.15, 7.13.16, 7.13.17, 7.13.18, 7.13.19, 7.19.7, 7.19.8, 7.19.9, 7.19.10, 7.19.11, 7.13.20, 7.19.12, 7.19.14, 7.19.15 버전
CVE-2017-7656
- Jira Software Data Center 및 Server 8.20.0, 9.4.0, 9.5.0, 9.6.0, 9.7.0, 9.8.0, 9.9.0, 9.10.0, 9.11.0, 9.10.1 버전
CVE-2019-20903
- atlaskit/editor-core 113.1.5 이전의 버전 (하이퍼링크 기능 사용 시)
CVE-2021-26074
- Atlassian Connect Spring Boot 1.1.0 이상의 2.1.2 이하의 버전
CVE-2022-28366
- Confluence Data Center 및 Server 7.13.0, 7.13.1, 7.13.2, 7.13.3, 7.13.4, 7.13.5, 7.13.6, 7.13.7, 7.13.8, 7.13.9, 7.13.10, 7.13.11, 7.13.12, 7.19.0, 7.19.1, 7.19.2, 7.19.3, 7.19.4, 7.19.5, 8.1.0, 8.2.0, 8.3.0, 8.5.0, 7.13.13, 7.19.6, 7.13.14, 8.1.1, 7.13.15, 7.13.16, 7.13.17, 7.13.18, 7.13.19, 7.19.7, 7.19.8, 7.19.9, 7.19.10, 7.19.11, 8.1.3, 8.2.1, 8.1.4, 8.2.2, 8.2.3, 8.3.1, 8.3.2, 7.13.20, 7.19.12, 8.5.1, 7.19.14, 8.5.2, 7.19.15, 7.19.16, 8.3.3, 8.5.3, 8.3.4 버전
CVE-2021-22569
- Jira Service Management Data Center 및 Server 4.20.0, 4.20.1, 4.20.2, 4.20.3, 4.20.4, 4.20.5, 4.20.6, 4.20.7, 4.20.8, 4.20.9, 4.20.10, 4.20.11, 4.20.12, 4.20.13, 4.20.14, 5.4.0, 4.20.15, 5.4.1, 4.20.16, 5.5.1, 4.20.17, 5.4.2, 5.6.0, 5.4.3, 4.20.18, 5.7.0, 4.20.19, 5.4.4, 5.8.0, 4.20.20, 4.20.21, 5.4.5, 4.20.22, 5.4.6, 5.9.0, 4.20.23, 5.4.7, 4.20.24, 5.4.8, 5.10.0, 4.20.25, 5.4.9, 5.4.10, 4.20.26 버전
해결된 취약점
Hazelcast의 클러스터 조인 절차 Java 역직렬화를 통한 원격 코드 실행 취약점 (CVE-2016-10750)
Atlassian Bitbucket Data Center에서 발생하는 Java 역직렬화를 통한 임의 코드 실행 취약점 (CVE-2022-26133)
Atlassian Connect Spring Boot의 손상된 인증 취약점 (CVE-2021-26077)
git 하위 모듈 이름을 통한 임의 코드 실행 취약점 (CVE-2018-11235)
NTFS에서 경로 이름 온전성을 확인하는 코드로 인해 범위를 벗어난 메모리 읽기 취약점 (CVE-2018-11233)
Mac용 Sourcetree 및 Windows용 Sourcetree의 원격 코드 실행 취약점 (CVE-2024-21680)
Atlassian Connect Express의 손상된 인증 취약점 (CVE-2021-26073)
protobuf-java 코어 및 라이트 버전에서 텍스트 형식을 사용하는 구문 분석 문제로 인한 서비스 거부 공격 취약점 (CVE-2022-3509)
Bamboo Data Center 및 Server에서 발생하는 원격 코드 실행 취약점 (CVE-2023-22516)
Crowd Data Center 및 Server에서 발생하는 원격 코드 실행 취약점 (CVE-2023-22521)
Confluence Data Center 및 Server에서 발생하는 SSRF 취약점 (CVE-2022-41704)
Jira Software Data Center 및 Server에서 발생하는 Cache Poisoning 취약점 (CVE-2017-7656)
atlaskit/editor-core에서 발생하는 XSS 취약점 (CVE-2019-20903)
Atlassian Connect Spring Boot의 손상된 인증 취약점 (CVE-2021-26074)
Confluence Data Center 및 Server에서 발생하는 DoS 취약점 (CVE-2022-28366)
Jira Service Management Data Center 및 Server의 protobuf-java의 문제로 인해 com.google.protobuf.UnknownFieldSet 필드가 순서 없이 처리되는 방식으로 인터리빙이 허용되어 발생하는 서비스 거부 취약점 (CVE-2021-22569)
취약점 패치
업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 내용에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2022-26133
- Bitbucket Data Center 7.6.14, 7.17.6, 7.18.4, 7.19.4, 7.20.1, 7.21.0 버전
CVE-2016-10750
- Confluence Data Center 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4, 7.18.1 버전
CVE-2021-26077
- Atlassian Connect Spring Boot 2.1.3, 2.1.5 버전 또는 이상의 버전
CVE 2018-11233 (Windows에서 실행되는 Bamboo 리포지토리에서 또는 전역적으로 fsckObjects 옵션을 활성화한 경우), CVE-2018-11235
- Bamboo 6.6.0 이상의 버전
CVE-2023-22514
- Mac용 Sourcetree 및 Windows용 Sourcetree 3.4.15 버전
CVE-2021-26073
- Atlassian Connect Express 6.6.0 이상의 버전
CVE-2022-3509
- Jira Service Management Data Center 및 Server 4.20.27 이상의 릴리스
- Jira Service Management Data Center 및 Server 5.4.11 이상의 릴리스
CVE-2023-22516
- Bamboo Data Center 및 Server 9.3.4, 9.2.7 버전
CVE-2023-22521
- Crowd Data Center 및 Server 5.1.6, 5.2.1 버전
CVE-2022-41704
- Confluence Data Center 및 Server 7.19.16 버전
CVE-2017-7656
- Jira Software Data Center 및 Server 9.12.0, 9.11.1, 9.10.2, 9.4.14 버전
CVE-2019-20903
- atlaskit/editor-core 113.1.5 버전
CVE-2021-26074
- Atlassian Connect Spring Boot 2.1.3 버전
CVE-2022-28366
- Confluence Data Center 및 Server 8.6.0, 8.5.4, 7.19.17 버전
CVE-2021-22569
- Jira Service Management Data Center 및 Server 4.20.27, 5.4.11 버전
참고 사이트
[1] Multiple Products Security Advisory – Hazelcast Vulnerable To Remote Code Execution – CVE-2016-10750, CVE-2022-26133
https://confluence.atlassian.com/security/multiple-products-security-advisory-hazelcast-vulnerable-to-remote-code-execution-cve-2016-10750-1116292387.html
[2] CVE-2021-26077 – Broken authentication in Atlassian Connect Spring Boot (ACSB)
[3] Atlassian Products & Services and CVE-2018-11235 & CVE-2018-11233
[4] Atlassian Products & Services and CVE-2018-11235 & CVE-2018-11233
[5] RCE (Remote Code Execution) in Sourcetree for Mac and Sourcetree for Windows
https://jira.atlassian.com/browse/SRCTREE-8076
[6] CVE-2021-26073 – Broken authentication in Atlassian Connect Express (ACE)
[7] com.google.protobuf:protobuf-java Vulnerability in Jira Service Management Data Center and Server
https://jira.atlassian.com/browse/JSDSERVER-14755?jql=text%20~%20%22CVE-2022-3509%22
[8] RCE (Remote Code Execution) in Bamboo Data Center and Server
https://jira.atlassian.com/browse/BAM-25168
[9] RCE (Remote Code Execution) in Crowd Data Center and Server
https://jira.atlassian.com/browse/CWD-6139
[10] SSRF org.apache.xmlgraphics in Confluence Data Center and Server
https://jira.atlassian.com/browse/CONFSERVER-93179
[11] Cache Poisoning org.eclipse.jetty:jetty-server in Jira Software Data Center and Server
https://jira.atlassian.com/browse/JSWSERVER-22148
[12] CVE-2019-20903 – XSS in atlaskit/editor-core
https://confluence.atlassian.com/security/cve-2019-20903-xss-in-atlaskit-editor-core-1021244735.html
[13] CVE-2021-26074 – Broken authentication in Atlassian Connect Spring Boot (ACSB)
[14] DoS (Denial of Service) net.sourceforge.nekohtml:nekohtml in Confluence Data Center and Server
https://jira.atlassian.com/browse/CONFSERVER-93169
[15] com.google.protobuf:protobuf-java Vulnerability in Jira Service Management Data Center and Server
https://jira.atlassian.com/browse/JSDSERVER-14753