| 概要 | CVE-2022-1471 - 影响Jira及多个产品的SnakeYAML库远程执行漏洞 |
| 发布日期 | 2023-12-05 |
| 产品 | - Automation插件
- Bitbucket Data Center
- Bitbucket Server
- Confluence Data Center
- Confluence Server
- Confluence Cloud Migration插件
- Jira Core Data Center
- Jira Core Server
- Jira Service Management Data Center
- Jira Service Management Server
- Jira Software Data Center
- Jira Software Server
|
| CVE ID | CVE-2022-1471 |
漏洞描述
多个Atlassian Data Center和Server产品使用SnakeYAML Java库,该库容易出现反序列化缺陷,从而导致远程代码执行漏洞。
严重性
根据Atlassian的内部评估,该漏洞的严重程度评为critical(9.8,很严重)。
这是Atlassian的评估,用户应该评估它对自己的IT环境的适用性。
影响的版本
此远程代码执行漏洞影响下表列出的所有产品版本。Atlassian建议升级到最新版本或修复后的LTS版本。
| 产品 | 影响的版本 |
|---|
Automation for Jira (A4J)插件 Automation for Jira (A4J) - Server Lite插件 | |
| Bitbucket Data Center和Server | - 7.17.x
- 7.18.x
7.19.x 7.20.x - 7.21.0
- 7.21.1
- 7.21.2
- 7.21.3
- 7.21.4
- 7.21.5
- 7.21.6
- 7.21.7
- 7.21.8
- 7.21.9
- 7.21.10
- 7.21.11
- 7.21.12
- 7.21.13
- 7.21.14
- 7.21.15
8.0.x 8.1.x 8.2.x 8.3.x 8.4.x 8.5.x 8.6.x - 8.7.x
- 8.8.0
- 8.8.1
- 8.8.2
- 8.8.3
- 8.8.4
- 8.8.5
- 8.8.6
- 8.9.0
- 8.9.1
- 8.9.2
- 8.9.3
- 8.10.0
- 8.10.1
- 8.10.2
- 8.10.3
- 8.11.0
- 8.11.1
- 8.11.2
- 8.12.0
|
| Confluence Data Center和Server | 6.13.x 6.14.x 6.15.x 7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.6.x 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x 7.13.0 7.13.1 7.13.2 7.13.3 7.13.4 7.13.5 7.13.6 7.13.7 7.13.8 7.13.9 7.13.10 7.13.11 7.13.12 7.13.13 7.13.14 7.13.15 7.13.16 7.13.17 7.14.x 7.15.x 7.16.x 7.17.x 7.18.x 7.19.0 7.19.1 7.19.2 7.19.3 7.19.4 7.19.5 7.19.6 7.19.7 7.19.8 7.19.9 7.20.x 8.0.x 8.1.x 8.2.x 8.3.0
|
| Confluence Cloud Migration插件(CCMA) | |
Jira Core Data Center和Server Jira Software Data Center和Server | 9.4.0 9.4.1 9.4.2 9.4.3 9.4.4 9.4.5 9.4.6 9.4.7 9.4.8 9.4.9 9.4.10 9.4.11 9.4.12 9.5.x 9.6.x 9.7.x 9.8.x 9.9.x 9.10.x 9.11.0 9.11.1
|
| Jira Service Management Data Center和Server | 5.4.0 5.4.1 5.4.2 5.4.3 5.4.4 5.4.5 5.4.6 5.4.7 5.4.8 5.4.9 5.4.10 5.4.11 5.4.12 5.5.x 5.6.x 5.7.x 5.8.x 5.9.x 5.10.x 5.11.0 5.11.1
|
如何修复
Atlassian建议您将每个受影响的产品实例升级到最新版本或下面列出的修复版本之上。
| 产品 | 操作 |
|---|
Automation for Jira (A4J)插件 Automation for Jira (A4J) - Server Lite插件 | |
| Bitbucket Data Center和Server | 升级到以下版本或更高版本 7.21.16 (LTS) 8.8.7 8.9.4 (LTS) 8.10.4 8.11.3 8.12.1 8.13.0 8.14.0 8.15.0 (Data Center) 8.16.0 (Data Center)
|
| Confluence Data Center和Server | 升级到以下版本或更高版本 - 7.19.17(LTS)
- 8.4.5
- 8.5.4(LTS)
- 8.6.2 (Data Center)
- 8.7.1 (Data Center)
|
| Confluence Cloud Migration插件 (CCMA) | 升级到以下版本或更高版本 |
Jira Core Data Center和Server Jira Software Data Center和Server | 升级到以下版本或更高版本 9.11.2 9.12.0 (LTS) 9.4.14 (LTS)
临时解决办法 - 加大备份频率。(非常重要。如被攻击,还有可恢复的手段)
- 断开互联网公网访问。在进行升级修复之前,应断开来自公共互联网的实例访问。
- 如果您无法将产品实例升级到修复后的版本,您可以通过通用插件管理器(UPM)将Automation for Jira(A4J)插件升级到修复后的版本,从而缓解此漏洞。
|
Jira Service Management Data Center和Server | 升级到以下版本或更高版本 5.11.2 5.12.0 (LTS) 5.4.14 (LTS)
还需要将Jira Core升级到修复后的版本。 临时解决办法 - 加大备份频率。(非常重要。如被攻击,还有可恢复的手段)
- 断开互联网公网访问。在进行升级修复之前,应断开来自公共互联网的实例访问。
- 如果您无法将产品实例升级到修复后的版本,您可以通过通用插件管理器(UPM)将Automation for Jira(A4J)插件升级到修复后的版本,从而缓解此漏洞。
|
常见问题
更多详细信息,可参考:Frequently Asked Questions (FAQ)。
技术支持
如果您有任何问题可以联系Atlassian技术支持:https://support.atlassian.com/contact/#/。
如果您是北京范德敏特科技的客户,您可以联系您的技术服务经理,或访问北京范德敏特科技官网:https://www.devpod.cn/contact/。