Atlassian Jira Seraph 身份驗(yàn)證繞過漏洞（CVE-2022-0540）

2022-04-21

一、概要

近日，華為云關(guān)注到Atlassian官方發(fā)布安全公告，披露Atlassian Jira Seraph 存在身份驗(yàn)證繞過漏洞（CVE-2022-0540），未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可發(fā)送特制的 HTTP 請(qǐng)求利用該漏洞，實(shí)現(xiàn)身份認(rèn)證繞過。

Jira是一個(gè)缺陷跟蹤管理系統(tǒng)，為針對(duì)缺陷管理、任務(wù)追蹤和項(xiàng)目管理的商業(yè)性應(yīng)用軟件。Jira Seraph是Jira 和 Jira Service Management 在 Web 身份驗(yàn)證的框架。華為云提醒使用Jira的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://jira.atlassian.com/browse/JRASERVER-73650

https://jira.atlassian.com/browse/JSDSERVER-11224

https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

受影響的Jira版本：

Jira < 8.13.18

Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x

Jira 8.20.x < 8.20.6

Jira 8.21.x

受影響的Jira Service Management版本：

Jira Service Management < 4.13.18

Jira Service Management 4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x

Jira Service Management 4.20.x < 4.20.6

Jira Service Management 4.21.x

安全版本：

Jira 8.13.x >= 8.13.18

Jira 8.20.x >= 8.20.6

Jira >= 8.22.0

Jira Service Management 4.13.x >= 4.13.18

Jira Service Management 4.20.x >= 4.20.6

Jira Service Management >= 4.22.0

四、安全建議

目前官方已在高版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本：

Jira Core、 Jira Software 、Jira Service Management

若無法及時(shí)升級(jí)的用戶可根據(jù)Atlassian官方提供的建議進(jìn)行緩解，詳見參考鏈接Jira Security Advisory 2022-04-20中“Workarounds”章節(jié)內(nèi)容。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測試。