Atlassian RCE ์ทจ์•ฝ์ 

๊ฐœ์š” ์•„ํ‹€๋ž€์‹œ์•„์˜ ๋Œ€ํ‘œ์ ์ธ ์ทจ์•ฝ์  ์‚ฌ๋ก€๋“ค์„ ์•Œ์•„๋ณด๋Š” ๋งˆ์ง€๋ง‰ ์ฑ•ํ„ฐ์ž…๋‹ˆ๋‹ค. ์ด๋ฒˆ์—๋Š” ๋น„๊ต์  ํŒŒ๊ธ‰ํšจ๊ณผ๊ฐ€ ํฐ RCE(Remote Code Excution) ํฌ์ธํŠธ๋ฅผ ์•Œ์•„๋ณด๊ฒ ์Šต๋‹ˆ๋‹ค. ๋Œ€๋ถ€๋ถ„์˜ ์˜คํ”ˆ์†Œ์Šค ํ”„๋ ˆ์ž„์›Œํฌ ๊ด€๋ จํ•ด์„œ ๋„์ถœ๋œ ์ทจ์•ฝ์ ๋“ค์€ ๋‚ด๋ถ€์˜ ์›๋ณธ ์ฝ”๋“œ๋ฅผ ํ™•์ธํ•  ์ˆ˜ ์žˆ๊ธฐ ๋•Œ๋ฌธ์— ์ •์ ์ธ ๋ถ„์„์„ ํ†ตํ•ด ์‹œ์Šคํ…œ์— ์ง์ ‘์ ์ธ ์นจํ•ด๋ฅผ ๊ฐ€ํ•  ์ˆ˜ ์žˆ๋Š” ํฌ์ธํŠธ๋ฅผ ์ฐพ์•„๋‚ด๋Š” ์ผ€์ด์Šค๊ฐ€ ๋งŽ์Šต๋‹ˆ๋‹ค. Sever Template Injection(CVE-2019–11581) ๊ณต๊ฒฉ ํฌ์ธํŠธ๋Š” ์ฒซ๋ฒˆ์งธ๋กœ JIRA์„œ๋ฒ„์— SMTP ๊ตฌ์„ฑ์ด ๋˜์–ด ์žˆ๊ณ  "bulk email send(๋Œ€์šฉ๋Ÿ‰ ๋ฉ”์ผ ๋ณด๋‚ด๊ธฐ)" ๋˜๋Š” "Contact Admin"์ด ํ™œ์„ฑํ™”๋˜์–ด ์žˆ์–ด์•ผ ํ•ฉ๋‹ˆ๋‹ค. 4.4.0 < 7.6.14, 7.7.0 < 7.13.5 8.0.0 < 8.0.3 8.1.0..

WEB
Atlassian REST API ์ทจ์•ฝ์ 

๊ฐœ์š” ์ตœ๊ทผ ์นจํ•ด์‚ฌ๊ณ  ๋™ํ–ฅ(2021 OWASPํฌํ•จ)์„ ์œ ์‹ฌํžˆ ๋ณด์‹œ๋ฉด ์–ด๋–ค ๋ฌธ์ œ๋กœ ๋ฏผ๊ฐํ•œ ์ •๋ณด๊ฐ€ ์œ ์ถœ์ด ๋˜๋Š”์ง€ ์ถ”์ธกํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋Œ€ํ‘œ์ ์œผ๋กœ ์—”๋“œํฌ์ธํŠธ(End-Point)์— ๋Œ€ํ•œ ๋ณด์•ˆ์ด ์ œ๋Œ€๋กœ ๊ฐ–์ถฐ์ ธ์žˆ์ง€ ์•Š์€ ์ƒํƒœ๋กœ ์„œ๋น„์Šค๊ฐ€ ์ œ๊ณต๋˜์–ด ๊ณต๊ฒฉ์ž๋“ค์ด ์ด๋ฅผ ์•…์šฉํ•˜์—ฌ ํ‘œ๋ฉด์ƒ ์ ‘๊ทผํ•  ์ˆ˜ ์—†๋Š” ์˜์—ญ์— ๋ฌด๋‹จ์œผ๋กœ ์ง์ ‘ ์ ‘๊ทผ ์‚ฌ๋ก€๊ฐ€ ๋‹ค์ˆ˜ ๋ฐœ์ƒํ•˜๊ณ  ์žˆ์Šต๋‹ˆ๋‹ค. ์šฐ์„  API ๋Š” "Application Programming Interface"์˜ ์•ฝ์ž๋กœ ์›น์–ดํ”Œ๋ฆฌ์ผ€์ด์…˜์—์„œ ๋ฐ์ดํ„ฐ๋ฅผ ์ฃผ๊ณ ๋ฐ›๊ณ  ์ด๋ฅผ ์–ด๋–ค ๋ฐฉ์‹์œผ๋กœ ์š”์ฒญํ•˜๊ณ  ์ฒ˜๋ฆฌํ• ์ง€์— ๋Œ€ํ•ด ๊ทœ๊ฒฉ์„ ์ •ํ•ด๋†“์€ ์ธํ„ฐํŽ˜์ด์Šค๋ผ๊ณ  ๋ณด์‹œ๋ฉด ๋ฉ๋‹ˆ๋‹ค. ๊ทธ๋ฆฌ๊ณ  API ์ „์†ก์—๋Š” 2๊ฐ€์ง€์˜ ๋ฐฉ์‹์ด ์กด์žฌํ•ฉ๋‹ˆ๋‹ค.(SOAP/REST) REST๋ฐฉ์‹์€ "JSON"๋ฐฉ์‹์„ ํ†ตํ•ด ๋ฐ์ดํ„ฐ๋ฅผ ์ฒ˜๋ฆฌํ•˜๊ธฐ์— SOAP๋ณด๋‹ค ์†๋„๋ฉด์—์„œ ์ข€ ..

WEB