Atlassian ประกาศแพตช์ช่องโหว่ร้ายแรงบน Jira Server และ Data Center

Atlassian ได้ประกาศแพตช์ช่องโหว่ร้ายรายให้ Jira Server และ Data Center ที่ทำให้คนร้ายสามารถทำการลอบรันโค้ดได้ นอกจากจากนี้ยังมีช่องโหว่ร้ายแรงอีกรายการของ Jira Service Desk ด้วย

ช่องโหว่ร้ายแรงคือ CVE-2019-15001 ซึ่งเกิดขึ้นกับ Jira Server และ Jira Data Center โดยคนร้ายที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลจะสามารถใช้ช่องโหว่ Injection เพื่อทำให้เกิดการลอบรันโค้ดทางไกลได้ อย่างไรก็ตามมีการแพตช์แก้ไขแล้วในเวอร์ชัน 7.16.16, 7.13.8, 8.1.3, 8.2.5, 8.3.4 และ 8.4.1 แต่สำหรับใครที่ยังไม่พร้อมอัปเดตสามารถแก้ปัญหาด้วยการบล็อก PUT Request ‘/rest/jira-importers-plugin/1.0/demo/create’ 

credit : Bleepingcomputer

นอกจากนี้ยังมีช่องโหว่ร้ายแรงอีก 1 รายการคือ CVE-2019-14994 ที่เกิดกับ Jira Service Desk และ Jira Service Desk Data Center โดยเป็นช่องโหว่ URL Path Traversal ที่นำไปสู่การเปิดเผยข้อมูล ซึ่งใครก็ตามที่ใครก็ตามที่เข้าถึงหน้า Portal ของโปรแกรม Service Desk นี้ได้สามารถใช้ช่องโหว่เพื่อดูปัญหาทั้งหมดใน Jira Project (ตามรูปด้านบน) ผู้เกี่ยวข้องสามารถอัปเดตแพตช์ได้ในเวอร์ชัน 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4 และ 4.4.1 หากยังไม่สามารถแพตช์ได้สามารถ Workaround ได้ด้วยการเพิ่ม Rule ใน ‘URLwrite’ เพื่อป้องกัน Request ที่มี ‘..’ อยู่ภายใน

ที่มา :  https://www.bleepingcomputer.com/news/security/jira-server-and-service-desk-fix-critical-security-bugs/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank

MalwareHunter ได้เปิดเผยมุขใหม่ของคนร้ายที่ทำ Phishing หวังเล่นงานเหยื่อที่ใช้บริการของ Citibank ดังนั้นเป็นหน้าที่ของเราที่ต้องติดตามพฤติกรรมเช่นนี้ให้ไม่ตกเป็นเหยื่อครับ

นักวิจัยตั้ง Honeypot จำลองระบบในอุตสาหกรรมเพื่อศึกษาการโจมตีจริง

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้ตั้ง Honeypot ปลอมเป็นองค์กรภาคอุตสาหกรรมที่ใช้ระบบ เช่น ICS, PLC และอื่นๆ โดยผลลัพธ์ชี้ว่าผู้ดูแลระบบมีความเสี่ยงจากคนร้ายทั่วไปที่หวังผลทางการเงินมากกว่ากลุ่มแฮ็กเกอร์ระดับชาติ