Atlassian ประกาศแพตช์ช่องโหว่ร้ายแรงบน Jira Server และ Data Center

Atlassian ได้ประกาศแพตช์ช่องโหว่ร้ายรายให้ Jira Server และ Data Center ที่ทำให้คนร้ายสามารถทำการลอบรันโค้ดได้ นอกจากจากนี้ยังมีช่องโหว่ร้ายแรงอีกรายการของ Jira Service Desk ด้วย

ช่องโหว่ร้ายแรงคือ CVE-2019-15001 ซึ่งเกิดขึ้นกับ Jira Server และ Jira Data Center โดยคนร้ายที่มีสิทธิ์เข้าถึงในระดับผู้ดูแลจะสามารถใช้ช่องโหว่ Injection เพื่อทำให้เกิดการลอบรันโค้ดทางไกลได้ อย่างไรก็ตามมีการแพตช์แก้ไขแล้วในเวอร์ชัน 7.16.16, 7.13.8, 8.1.3, 8.2.5, 8.3.4 และ 8.4.1 แต่สำหรับใครที่ยังไม่พร้อมอัปเดตสามารถแก้ปัญหาด้วยการบล็อก PUT Request ‘/rest/jira-importers-plugin/1.0/demo/create’ 

credit : Bleepingcomputer

นอกจากนี้ยังมีช่องโหว่ร้ายแรงอีก 1 รายการคือ CVE-2019-14994 ที่เกิดกับ Jira Service Desk และ Jira Service Desk Data Center โดยเป็นช่องโหว่ URL Path Traversal ที่นำไปสู่การเปิดเผยข้อมูล ซึ่งใครก็ตามที่ใครก็ตามที่เข้าถึงหน้า Portal ของโปรแกรม Service Desk นี้ได้สามารถใช้ช่องโหว่เพื่อดูปัญหาทั้งหมดใน Jira Project (ตามรูปด้านบน) ผู้เกี่ยวข้องสามารถอัปเดตแพตช์ได้ในเวอร์ชัน 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4 และ 4.4.1 หากยังไม่สามารถแพตช์ได้สามารถ Workaround ได้ด้วยการเพิ่ม Rule ใน ‘URLwrite’ เพื่อป้องกัน Request ที่มี ‘..’ อยู่ภายใน

ที่มา :  https://www.bleepingcomputer.com/news/security/jira-server-and-service-desk-fix-critical-security-bugs/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

TechTalk Webinar: TRUSTED THIRD-PARTY RISK MANAGEMENT – Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber

TechTalkThai ขอเชิญทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "TRUSTED THIRD-PARTY RISK MANAGEMENT - Security Rating. กลยุทธ์ในการเปลี่ยนรูปแบบการจัดการ, การรายงาน และ การสื่อสารเรื่องความเสี่ยงของภัยคุกคามทางด้าน Cyber" เพื่อเรียนรู้โซลูชันการประเมินความเสี่ยงให้องค์กรของท่านจาก SecurityScorecard ทั้งมุมมองภายนอกและ Third party ที่เกี่ยวข้อง

ขอเชิญร่วมอบรมฟรี “Workshop เส้นทางสู่นักเจาะระบบ” เรียนรู้พื้นฐานสู่สายอาชีพ Cybersecurity [23-24 ก.ค. 2022]

พลาดไม่ได้สำหรับผู้ที่สนใจเริ่มต้นหรือย้ายสายอาชีพเข้าสู่วงการ Cybersecurity ที่กำลังมาแรง กับงานอบรมฟรี "Workshop เส้นทางสู่นักเจาะระบบ" ในวันเสาร์ที่ 23 และวันอาทิตย์ที่ 24 ก.ค. 2022 ณ BITEC ห้อง Silk 1-2 เพื่อปูพื้นฐานทางเทคนิคด้านการเจาะระบบและการตรวจสอบความมั่นคงปลอดภัยเบื้องต้น (Ethical Hacking & Security) และสัมผัสประสบการณ์การทำงานในสายงานด้านนี้ด้วยตนเอง เป็นการเปิดโอกาสสำหรับก้าวแรกสู่สายงานด้านนี้โดยเฉพาะ พร้อมให้สามารถนำความรู้ไปประยุกต์ใช้ในสายงานของตนเองได้