- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
威胁预警团队
2022/02/06
Jira Service Management 是 Atlassian 为团队提供的服务管理解决方案。运行在 Jira 平台上,为适用于 DevOps 时代而构建的,与Confluence、Opsgenie 和 Statuspage 的无缝集成使团队能够高效协作。。近日,新华三攻防实验室威胁预警团队监测到Atlassian官方发布安全公告,修复了一个存在于Jira Service Management Server和Data Center中的身份认证绕过漏洞(CVE-2023-22501),攻击者利用该漏洞可绕过身份验证,获得对Jira Service Management实例访问的权限。
由于Jira Service Management Server 和 Data Center 中存在着身份认证绕过漏洞,当Jira Service Management开启用户目录和邮件外发的写入权限时,恶意攻击者通过获取未登录过的用户注册凭证,并使用此用户的身份绕过身份验证。
· 5.3.0 <= Jira Service Management Server/Data Center <= 5.3.2
· 5.4.0 <= Jira Service Management Server/Data Center <= 5.4.1
· Jira Service Management Server/Data Center == 5.5.0
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.4 |
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.atlassian.com/zh/software/jira/service-management/download-archives
升级servicedesk-variable-substitution-plugin JAR文件,步骤如下:
1、 根据以下链接下载对应的jar包
Jira Service Management 5.5.0:https://confluence.atlassian.com/jira/files/1188786458/1206784728/1/1674516535669/servicedesk-variable-substitution-plugin-5.5.1-REL-0005.jar
Jira Service Management 5.4.0, 5.4.1:https://confluence.atlassian.com/jira/files/1188786458/1206784727/1/1674516523541/servicedesk-variable-substitution-plugin-5.4.2-REL-0005.jar
Jira Service Management 5.3.0, 5.3.1, 5.3.2:https://confluence.atlassian.com/jira/files/1188786458/1206784726/1/1674516479803/servicedesk-variable-substitution-plugin-5.3.3-REL-0001.jar
2、 停止Jira
3、 复制jar包至Jira home目录
a、Server:<Jira_Home>/plugins/installed-plugins
b、Data Center:<Jira_Shared>/plugins/installed-plugins
4、启动Jira
https://confluence.atlassian.com/jira/jira-service-management-server-and-data-center-advisory-cve-2023-22501-1188786458.html
产品与解决方案
售前咨询
售后咨询
人工在线咨询
