Versions Compared

Version Old Version 1 New Version Current
Changes made by

이병욱

이병욱

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

이 취약성은 이전에 Log4j의 취약한 버전을 사용한 모든 Atlassian 클라우드 제품에 대해 완화되었습니다. 현재까지 분석 결과 이러한 시스템을 패치하기 전에 Atlassian 시스템 또는 고객 데이터가 손상된 것으로 확인되지는 않았습니다. Atlassian 고객은 취약하지 않으므로 작업이 필요하지 않습니다.

온프레미스 제품에 미치는 영향

Bitbucket 서버 및 데이터 센터

Bitbucket Server & Data Center는 번들로 제공되는 필수 소프트웨어인 Elasticsearch를 통해 CVE-2021-44228에 취약합니다.  Elastic 보안 권고 ESA-2021-31에 따라 Elasticsearch는 원격 코드 실행의 영향을 받지 않지만 정보 유출이 잠재적인 영향을 미칩니다. 정보 유출 위험을 완화하기 위한 조치가 필요한지 확인하려면 아래 표를 참조하십시오.

버전

취약점 기준

액션

Elasticsearch의 번들 버전

(즉 , Elasticsearch의 별도 인스턴스를 직접 설정 하지 않은 경우 )

2021. 12. 15 이전에 릴리스된 모든 Bitbucket 버전 :

  • 모든 버전 < 6.10.16

  • 7.x < 7.6.12

  • 버전 >= 7.7.0 및 < 7.14.2

  • 7.15.x < 7.15.3

  • 7.16.x < 7.16.3

  • 7.17.x < 7.17.4

  • 7.18.x < 7.18.3

  • 7.19

Elastic 보안 권고 ESA-2021-31에 따라 원격 코드 실행이 완화되지만 정보 유출이 여전히 적용될 수 있습니다.

Linux/MacOS의 경우:

  • 7.10 이전 버전의 Elasticsearch 라이센스 변경으로 인해 번들 Elasticsearch 버전의 업데이트된 버전을 릴리스할 수 없습니다.

  • 대신 log4j2.formatMsgNoLookups=true플래그 완화를 적용하는 업데이트된 버전의 Bitbucket(아래 설명)을 출시했습니다.

  • 고객이 Bitbucket을 업데이트할 수 없는 경우 log4j2.formatMsgNoLookups=true 플래그를 수동으로 적용해야 합니다 (아래 지침 참조).

Windows의 경우:

  • 고객은  log4j2.formatMsgNoLookups=true 플래그를 수동으로 적용해야 합니다 (아래 지침 참조).

Elasticsearch의 외부 버전

클러스터 구성에서 실행할 때는 Bitbucket과 함께 번들된 Elasticsearch 버전을 사용하면 안 됩니다. 데이터 센터 클러스터 고객은 Bitbucket Data Center와 별도로 고유한 Elasticsearch 설치를 설치하고 관리해야 합니다. 데이터 센터 에디션을 사용하는 고객은 Elastic Security Advisory ESA-2021-31을 참조하여 CVE-2021-44228을 완화하기 위한 조치가 필요한지 판단해야 합니다.

고객에게 Elasticsearch의 지침을 따르도록 권장하지만 다음 사항에 유의합니다.

  • Bitbucket은 Elasticsearch 7.16을 지원하지 않습니다. 지원되는 최신 버전을 확인하십시오.

  • 고객이 Elastic Security Advisory ESA-2021-31에 설명된 대로 대체 완화를 적용할 것을 권장합니다.

Bitbucket 서버 및 데이터 센터 보안 수정 사항

Bitbucket Server & Data Center의 CVE-2021-44228에 업데이트를 적용하려면 취약하지 않은 버전으로 업그레이드하십시오.

  • 6.10.16

  • 7.6.12

  • 7.14.2

  • 7.15.3

  • 7.16.3

  • 7.17.4

  • 7.18.3

  • 7.19.1

다운로드 페이지에서 위의 버전을 찾아 Bitbucket Server 업그레이드 가이드에 설명된 단계에 따라 업그레이드를 완료하십시오.

번들 버전 - 수동 완화

업데이트된 버전의 Bitbucket을 설치할 수 없고 번들 Elastic Search를 실행 중인 경우 Elastic 보안 권고 ESA-2021-31에 따라 다음을 변경하십시오 :

가장 간단한 업데이트 적용은 JVM 옵션 -Dlog4j2.formatMsgNoLookups=true를 설정하고 클러스터의 각 노드를 다시 시작하는 것입니다.
Elasticsearch 5.6.11+, 6.4+ 및 7.0+의 경우 RCE 및 정보 유출 공격으로부터 완벽하게 보호합니다.

$BITBUCKET_HOME/shared/search/jvm.options 파일 맨 아래에 다음 줄을 추가한 후 Bitbucket을 다시 시작합니다.

Code Block
-Dlog4j2.formatMsgNoLookups=true

일부 Bitbucket 버전에 사용되지 않는 log4j-core가 있습니다.

Bitbucket 버전 7.12 ~ 7.19에는 사용되지 않은 log4j-core 구성 요소가 포함되어 있습니다 . Bitbucket은 Log4j가 아닌 Logback을 사용하기 때문에 위험하지 않지만, 의심을 피하기 위해 Log4j 구성 요소를 제거하기 위한 업데이트가 로깅에 제공되었습니다.

기타 Atlassian 온프레미스 제품은 CVE-2021-44228에 취약하지 않습니다 .

일부 온프레미스 제품은 CVE-2021-44228에 취약하지 않은 Log4j 1.2.17의 Atlassian 유지보수 포크를 사용합니다. 우리는 이 포크에 대한 추가 분석을 수행했으며 신뢰할 수 있는 당사자만 악용할 수 있는 새롭고 유사한 취약점을 확인했습니다. 이러한 이유로 Atlassian은 온프레미스 제품의 심각도 수준을  낮음으로 평가 합니다. 특히 Log4j 1.x를 사용하는 Atlassian 제품은 다음과 같은 기본 구성이 아닌 구성이 모두 설정된 경우에만 영향을 받습니다.

...