Breaking News

Atlassian ออกแพตช์อุดช่องโหว่ร้ายแรงบน Jira Server และ Data Center แนะผู้ใช้ควรอัปเดต

Atlassian ได้ออกแพตช์อุดช่องโหว่ร้ายแรงบนซอฟต์แวร์ Jira เวอร์ชัน Data Center และ Server ซึ่งส่งผลให้ผู้โจมตีสามารถลอบรันโค้ดและแทรกแซงแอปพลิเคชันได้

credit : atlassian.com

Daniil Dmitriev นักวิจัยด้านความมั่นคงปลอดภัยได้ค้นพบช่องโหว่หมายเลข CVE-2019-11581 หรือ Template Injection ที่ส่งผลกระทบกับซอฟต์แวร์ Jira Data Center และ Server (เวอร์ชันที่ได้รับผลกระทบและการแพตช์ แสดงตามภาพด้านล่าง) ทั้งนี้จาก Advisory ของบริษัทกล่าวว่าช่องโหว่อยู่ใน Action ของ ContactAdministrators และ SendBulkMail ซึ่งจะถูกใช้ได้หากมีการตั้งค่าเซิร์ฟเวอร์ SMTP ไว้และเปิด Form ของ ContactAdministrators 

อย่างไรก็ตามสำหรับผู้ใช้งานที่ยังไม่สะดวกอัปเดตสามารถบรรเทาปัญหาได้ดังนี้

1.ปิด Form ของ ContactAdministrators

2.บล็อกการเข้าถึงไปยัง ‘”/secure/admin/SendBulkMail!default.jspa’ ซึ่งอาจทำได้โดยบล็อกการเข้าถึงใน Reverse-proxy, Load Balancer หรือที่ Tomcat เพื่อป้องกันแอดมินไม่ให้ส่งเมลจำนวนมากไปหากลุ่ม user

credit : confluence.atlassian.com

ที่มา :  https://www.bleepingcomputer.com/news/security/jira-server-and-data-center-update-patches-critical-vulnerability/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ISO ออกมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management

ISO ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management ซึ่งเป็นส่วนต่อขยายจาก ISO/IEC 27001 และ ISO/IEC 27002 สำหรับเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมั่นคงปลอดภัย นำไปประยุกต์ใช้ให้สอดคล้องกับ …

ETDA จัดแข่งขัน Thailand CTF Competition 2019 เฟ้นหาตัวแทนไปแข่งขันระดับโลก

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ประกาศจัดการแข่งขัน Thailand CTF Competition 2019 เพื่อเฟ้นหาสุดยอดฝีมือด้านความมั่นคงปลอดภัยไซเบอร์ไปแข่งขันในงาน Security Contest 2019 (SECCON 2019) ระดับโลก นิสิตและนักศึกษาระดับอุดมศึกษา …