Breaking News

Atlassian ประกาศแพตช์ช่องโหว่ร้ายแรงบน Jira Server และ Data Center

Atlassian ได้ประกาศแพตช์ช่องโหว่ร้ายรายให้ Jira Server และ Data Center ที่ทำให้คนร้ายสามารถทำการลอบรันโค้ดได้ นอกจากจากนี้ยังมีช่องโหว่ร้ายแรงอีกรายการของ Jira Service Desk ด้วย

ช่องโหว่ร้ายแรงคือ CVE-2019-15001 ซึ่งเกิดขึ้นกับ Jira Server และ Jira Data Center โดยคนร้ายที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลจะสามารถใช้ช่องโหว่ Injection เพื่อทำให้เกิดการลอบรันโค้ดทางไกลได้ อย่างไรก็ตามมีการแพตช์แก้ไขแล้วในเวอร์ชัน 7.16.16, 7.13.8, 8.1.3, 8.2.5, 8.3.4 และ 8.4.1 แต่สำหรับใครที่ยังไม่พร้อมอัปเดตสามารถแก้ปัญหาด้วยการบล็อก PUT Request ‘/rest/jira-importers-plugin/1.0/demo/create’ 

credit : Bleepingcomputer

นอกจากนี้ยังมีช่องโหว่ร้ายแรงอีก 1 รายการคือ CVE-2019-14994 ที่เกิดกับ Jira Service Desk และ Jira Service Desk Data Center โดยเป็นช่องโหว่ URL Path Traversal ที่นำไปสู่การเปิดเผยข้อมูล ซึ่งใครก็ตามที่ใครก็ตามที่เข้าถึงหน้า Portal ของโปรแกรม Service Desk นี้ได้สามารถใช้ช่องโหว่เพื่อดูปัญหาทั้งหมดใน Jira Project (ตามรูปด้านบน) ผู้เกี่ยวข้องสามารถอัปเดตแพตช์ได้ในเวอร์ชัน 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4 และ 4.4.1 หากยังไม่สามารถแพตช์ได้สามารถ Workaround ได้ด้วยการเพิ่ม Rule ใน ‘URLwrite’ เพื่อป้องกัน Request ที่มี ‘..’ อยู่ภายใน

ที่มา :  https://www.bleepingcomputer.com/news/security/jira-server-and-service-desk-fix-critical-security-bugs/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

มือดีเผยแพร่ข้อมูลภายในของ Intel ขนาดกว่า 20 GB

Till Kottmann วิศวกรซอฟต์แวร์ชาวสวิสซ์ได้อัปโหลดข้อมูลภายในของ Intel โดยอ้างว่าตนได้รับการติดต่อจากแฮ็กเกอร์ซึ่งอ้างว่าลอบขโมยมาได้

Fortinet เปิดตัว Fortigate 4400F ตอบโจทย์งานระดับดาต้าเซ็นเตอร์

Fortinet ได้เปิดตัว Next-gen Firewall รุ่นใหม่ใหญ่กว่าเดิมอีก 1 รุ่นหรือ ‘4400F’ สำหรับงานระดับดาต้าเซ็นเตอร์