| 원문: [Crowd Security Advisory (November 2022) | Crowd Data Center and Server 5.0 | Atlassian Documentation](https://confluence.atlassian.com/crowd/crowd-security-advisory-november-2022-1168866129.html) |
안녕하세요, 디무브 입니다.
현재 아틀라시안 Crowd의 Server 및 Data Center 버전에서 중요한 보안 취약점이 발견되어 안내드립니다.
해당 취약점은 허용 목록의 IP에서 암호 검사를 우회하여 Crowd 응용 프로그램으로 인증할 수 있게 되어 인증되지 않은 원격 공격자가 Crowd REST API 경로에 있는 엔드포인트를 호출할 수 있게 된다는 것입니다.
이 취약점으로 영향받는 정도는 제품 별로 상이하지만, 치명적인 보안 취약사항이기 때문에 빠른 패치가 필요합니다.
영향을 받는 Atlassian Server(DC) 제품
영향을 받는 버전
| 제품 | 영향을 받는 버전 |
|---|---|
| Crowd 서버 및 데이터 센터 | Crowd 5.0.0 - Crowd 5.0.2Crowd 4.0.0 - Crowd 4.4.3Crowd 3.0.0 - Crowd 3.7.2 |
해결 방안
아틀라시안에서는 취약점을 개선시킨 Fixed버전으로 업그레이드 할 것을 권고하고 있습니다.
Fixed 버전
| 제품 | Fixed 버전 |
|---|---|
| Crowd 서버 및 데이터 센터 | Crowd 5.0.0 - Crowd 5.0.2 >= 5.0.3 or laterCrowd 4.0.0 - Crowd 4.4.3 >= 4.4.4 or laterCrowd 3.0.0 - Crowd 3.7.2 > = 이 버전은 더 이상 사용 가능한 수정 사항이 없습니다. Crowd 4.4.4 또는 5.0.3으로 업그레이드하세요. |
취약점 완화 방법(임시 방편)
아틀라시안에서는 Fixed버전으로 업그레이드를 권고하고 있으나, 당장 업그레이드를 할 수 없는 경우엔 다음의 임시 완화 방안을 적용하여 사용하실 수 있습니다.
1. 원격 주소 제거
Crowd 제품에서 프로그램의 원격 주소를 제거하거나 유효성 검사를 하여 문제를 일시적으로 완화할 수 있습니다.
원격 주소를 제거하려면:
- Crowd에 로그인합니다.
- 위쪽 탐색 모음에서 응용 프로그램을 클릭합니다.
- 응용 프로그램 보기 화면에서 원격 주소탭을 클릭합니다.
- 모든 원격 주소를 제거합니다.
Crowd 3.0.0 이상은 기본적으로 원격 주소가 없어야 합니다.
2. 비밀번호 변경
프로그램의 암호를 더 강력한 암호로 변경할 수 있으며 이는 원격 주소를 제거할 수 없는 경우 특히 중요합니다.
암호를 변경하려면,
- Crowd에 로그인합니다.
- 위쪽 탐색 모음에서 응용 프로그램을 클릭합니다.
- 세부 정보 탭에서 암호 변경을 선택합니다.
취약점 정리
| 취약점 설명 | 인증되지 않은 공격자가 REST API 엔드포인트에 호출이 가능한 취약점 |
|---|---|
| 취약점 공개 날짜 | 2022년 11월 16일 오전 10시 PDT |
| 영향을 받는 제품 | Crowd 서버 및 데이터 센터 |
| CVE ID | CVE-2022-43782 |
관련하여 도움이 필요하실 경우 디무브로 언제든지 문의해주시기 바랍니다.
감사합니다.