Atlassian, Jira ve Jira Service Management ürünlerinin etkilendiği ve web uygulaması güvenlik framework’u olan Seraph’ta bulunan kritik kimlik doğrulama güvenlik açığı için güncelleme yayınladı. Zafiyet CVE-2022-0540 olarak izleniyor ve 9,9 puan almış. Uzaktaki bir saldırganın özel hazırlanmış bir HTTP isteği göndererek kimlik doğrulamasını atlamasına olanak tanıyor.
Etkilenen ürünler Jira Core Server, Software Data Center, Software Server, Service Management Server ve Management Data Center
- Jira Core Server, Software Server, and Software Data Center before 8.13.18, the 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x before 8.20.6, and 8.21.x.
- Jira Service Management Server and Management Data Center before 4.13.18, the 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x before 4.20.6, 4.21.x.
Güvenlik açığı, Jira ve Jira Service Management için bulut sürümlerini etkilemiyor.
Düzeltme ve geçici çözümler
Güvenlik güncellemelerini içeren sürümler, Jira Core Server, Software Server ve Software Data Center 8.13.x >= 8.13.18, 8.20.x >= 8.20.6 ve 8.22.0 ve sonraki tüm sürümler. Jira Service Management için sabit sürümler 4.13.x >= 4.13.18, 4.20.x >= 4.20.6 ve 4.22.0 ve üstü. Kullanıcıların bu sürümlerden birine güncelleme yapmaları şiddetle tavsiye ediliyor. Şu anda güncellemeler mümkün değilse güvenlik açığı bulunan uygulamaları yama mümkün olana kadar devre dışı bırakmanızı öneriliyor.
Kaynak: bleepingcomputer.com