Atlassian ประกาศแพตช์ช่องโหว่ร้ายแรงบน Jira Server และ Data Center

Atlassian ได้ประกาศแพตช์ช่องโหว่ร้ายรายให้ Jira Server และ Data Center ที่ทำให้คนร้ายสามารถทำการลอบรันโค้ดได้ นอกจากจากนี้ยังมีช่องโหว่ร้ายแรงอีกรายการของ Jira Service Desk ด้วย

ช่องโหว่ร้ายแรงคือ CVE-2019-15001 ซึ่งเกิดขึ้นกับ Jira Server และ Jira Data Center โดยคนร้ายที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลจะสามารถใช้ช่องโหว่ Injection เพื่อทำให้เกิดการลอบรันโค้ดทางไกลได้ อย่างไรก็ตามมีการแพตช์แก้ไขแล้วในเวอร์ชัน 7.16.16, 7.13.8, 8.1.3, 8.2.5, 8.3.4 และ 8.4.1 แต่สำหรับใครที่ยังไม่พร้อมอัปเดตสามารถแก้ปัญหาด้วยการบล็อก PUT Request ‘/rest/jira-importers-plugin/1.0/demo/create’ 

credit : Bleepingcomputer

นอกจากนี้ยังมีช่องโหว่ร้ายแรงอีก 1 รายการคือ CVE-2019-14994 ที่เกิดกับ Jira Service Desk และ Jira Service Desk Data Center โดยเป็นช่องโหว่ URL Path Traversal ที่นำไปสู่การเปิดเผยข้อมูล ซึ่งใครก็ตามที่ใครก็ตามที่เข้าถึงหน้า Portal ของโปรแกรม Service Desk นี้ได้สามารถใช้ช่องโหว่เพื่อดูปัญหาทั้งหมดใน Jira Project (ตามรูปด้านบน) ผู้เกี่ยวข้องสามารถอัปเดตแพตช์ได้ในเวอร์ชัน 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4 และ 4.4.1 หากยังไม่สามารถแพตช์ได้สามารถ Workaround ได้ด้วยการเพิ่ม Rule ใน ‘URLwrite’ เพื่อป้องกัน Request ที่มี ‘..’ อยู่ภายใน

ที่มา :  https://www.bleepingcomputer.com/news/security/jira-server-and-service-desk-fix-critical-security-bugs/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ออก Magic Quadrant ด้าน Web Application Firewalls ประจำปี 2020 – Imperva, Akamai ครอง Leaders

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Web Application Firewalls ประจำปี 2020 ผลปรากฏว่า Akamai และ Imperva …

เตือน KashmirBlack Botnet เข้าโจมตี CMS หลายแพลตฟอร์ม มีเหยื่อแล้วนับแสนราย

Imperva ได้ออกรายงานเตือนถึงความร้ายแรงใน Botnet ที่ชื่อ ‘KashmirBlack’ กับเจ้าของเว็บไซต์ต่างๆ ซึ่งมีเหยื่อนับแสนรายแล้ว