Atlassian ออกแพตช์อุดช่องโหว่ร้ายแรงบน Jira Server และ Data Center แนะผู้ใช้ควรอัปเดต

Atlassian ได้ออกแพตช์อุดช่องโหว่ร้ายแรงบนซอฟต์แวร์ Jira เวอร์ชัน Data Center และ Server ซึ่งส่งผลให้ผู้โจมตีสามารถลอบรันโค้ดและแทรกแซงแอปพลิเคชันได้

credit : atlassian.com

Daniil Dmitriev นักวิจัยด้านความมั่นคงปลอดภัยได้ค้นพบช่องโหว่หมายเลข CVE-2019-11581 หรือ Template Injection ที่ส่งผลกระทบกับซอฟต์แวร์ Jira Data Center และ Server (เวอร์ชันที่ได้รับผลกระทบและการแพตช์ แสดงตามภาพด้านล่าง) ทั้งนี้จาก Advisory ของบริษัทกล่าวว่าช่องโหว่อยู่ใน Action ของ ContactAdministrators และ SendBulkMail ซึ่งจะถูกใช้ได้หากมีการตั้งค่าเซิร์ฟเวอร์ SMTP ไว้และเปิด Form ของ ContactAdministrators 

อย่างไรก็ตามสำหรับผู้ใช้งานที่ยังไม่สะดวกอัปเดตสามารถบรรเทาปัญหาได้ดังนี้

1.ปิด Form ของ ContactAdministrators

2.บล็อกการเข้าถึงไปยัง ‘”/secure/admin/SendBulkMail!default.jspa’ ซึ่งอาจทำได้โดยบล็อกการเข้าถึงใน Reverse-proxy, Load Balancer หรือที่ Tomcat เพื่อป้องกันแอดมินไม่ให้ส่งเมลจำนวนมากไปหากลุ่ม user

credit : confluence.atlassian.com

ที่มา :  https://www.bleepingcomputer.com/news/security/jira-server-and-data-center-update-patches-critical-vulnerability/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

HPE เตือนผู้ใช้งานอัปเดต Patch อุดช่องโหว่ความรุนแรงสูงสุดบน Storage และ 64 ช่องโหว่บน HPE Intelligent Management Center

HPE ได้ออกมาแจ้งเตือนผู้ใช้งานให้ทำการอัปเดต Patch ความรุนแรงระดับสูงสุดที่ได้คะแนนเต็ม 10/10 บนระบบบริหารจัดการของ HPE Primera และ HPE 3PAR StoreServ รวมถึงช่องโหว่อื่นๆ อีก 64 รายการบน HPE Intelligent Management Center (iMC)

Cisco เตือนพบช่องโหว่หลายรายการใน Cisco Firepower Threat Defense และ Cisco Adaptive Security Appliance แนะผู้ใช้งานอัปเดตด่วน

Cisco ได้ออกมาประกาศเตือนถึงผู้ใช้งาน Cisco Firepower Threat Defense (FTD) และ Cisco Adaptivev Security Appliance (ASA) ถึงการค้นพบช่องโหว่ด้านความมั่นคงปลอดภัยตั้งแต่ Denial of Service (DoS) ไปจนถึง Cross-Site Request Forgery (CSRF) พร้อมออก Patch มาอัปเดตแก้ไขปัญหาเหล่านี้แล้ว