Atlassian ออกแพตช์อุดช่องโหว่ร้ายแรงบน Jira Server และ Data Center แนะผู้ใช้ควรอัปเดต

Atlassian ได้ออกแพตช์อุดช่องโหว่ร้ายแรงบนซอฟต์แวร์ Jira เวอร์ชัน Data Center และ Server ซึ่งส่งผลให้ผู้โจมตีสามารถลอบรันโค้ดและแทรกแซงแอปพลิเคชันได้

Daniil Dmitriev นักวิจัยด้านความมั่นคงปลอดภัยได้ค้นพบช่องโหว่หมายเลข CVE-2019-11581 หรือ Template Injection ที่ส่งผลกระทบกับซอฟต์แวร์ Jira Data Center และ Server (เวอร์ชันที่ได้รับผลกระทบและการแพตช์ แสดงตามภาพด้านล่าง) ทั้งนี้จาก Advisory ของบริษัทกล่าวว่าช่องโหว่อยู่ใน Action ของ ContactAdministrators และ SendBulkMail ซึ่งจะถูกใช้ได้หากมีการตั้งค่าเซิร์ฟเวอร์ SMTP ไว้และเปิด Form ของ ContactAdministrators 

อย่างไรก็ตามสำหรับผู้ใช้งานที่ยังไม่สะดวกอัปเดตสามารถบรรเทาปัญหาได้ดังนี้

1.ปิด Form ของ ContactAdministrators

2.บล็อกการเข้าถึงไปยัง ‘”/secure/admin/SendBulkMail!default.jspa’ ซึ่งอาจทำได้โดยบล็อกการเข้าถึงใน Reverse-proxy, Load Balancer หรือที่ Tomcat เพื่อป้องกันแอดมินไม่ให้ส่งเมลจำนวนมากไปหากลุ่ม user

ที่มา :  https://www.bleepingcomputer.com/news/security/jira-server-and-data-center-update-patches-critical-vulnerability/