Cảnh báo: Lỗ hổng nghiêm trọng trong Jira có thể dẫn đến thực thi mã từ xa

nǝıH

Active Member
23/03/2020
24
37 bài viết
Cảnh báo: Lỗ hổng nghiêm trọng trong Jira có thể dẫn đến thực thi mã từ xa
Atlassian vừa phát đi cảnh báo liên quan đến lỗ hổng bảo mật trong các sản phẩm Jira Data Center và Jira Service Management Data Center. Lỗ hổng này có thể cho phép những kẻ tấn công từ xa, chưa được xác thực thực thi mã tùy ý. Các khách hàng doanh nghiệp sử dụng sản phẩm này được yêu cầu cập nhật bản vá ngay lập tức.
Atlassian-Jira.png

Atlassian là nền tảng có khoảng 180.000 doanh nghiệp sử dụng để thiết kế phần mềm và quản lý dự án. Phần mềm Jira của hãng là công cụ quản lý theo dõi và quản lý lỗi /vấn đề trong dự án.

Lỗ hổng được đánh số CVE-2020-36239, liên quan đến việc xác thực bị không đầy đủ khi triển khai Ehcache của Jira. Atlassian cho biết lỗi này ảnh hưởng tới phiên bản 6.3.0 của Jira Data Center, Jira Core Data Center, Jira Software Data Center và Jira Service Management Data Center (còn gọi là Jira Service Desk trước 4.14).

Theo cố vấn bảo mật của Atlassian, danh sách các sản phẩm trên đã sử dụng một dịch vụ gọi phương thức từ xa Ehcache (RMI) mà những kẻ tấn công có thể kết nối với dịch vụ trên cổng 40001 hoặc là 40011 sau đó có thể thực thi mã tùy ý thông qua lỗi deserialization do thiếu xác thực.

RMI là một API hoạt động như một cơ chế cho phép giao tiếp từ xa giữa các chương trình được viết bằng Java. Nó cho phép một đối tượng nằm trong một máy ảo Java (JVM) gọi một đối tượng đang chạy trên JVM khác. Thông thường, nó liên quan đến một chương trình trên máy chủ và một chương trình trên máy khách.


RMI.png

Hoạt động của RMI

Phiên bản ảnh hưởng
Jira Data Center, Jira Core Data Center và Jira Software Data Center

  • Phiên bản từ 6.3.0 đến 8.5.16
  • Phiên bản từ 8.6.0 đến 8.13.8
  • Phiên bản từ 8.14.0 đến 8.17.0
Jira Service Management Data Center
  • Phiên bản từ 2.0.2 đến 4.5.16
  • Phiên bản từ 4.6.0 đến 4.13.8
  • Phiên bản từ 4.14.0 đến 4.17.0
Jira Data Center, Jira Core Data Center và Jira Software Data Center
  • Tất cả phiên bản 6.3.x, 6.4.x
  • Tất cả phiên bản 7.0.x, 7.1.x , 7.2.x, 7.3.x, 7.4.x, 7.5.x, 7.6.x, 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x, 7.13.x
  • Tất cả phiên bản 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x
  • Tất cả phiên bản 8.5.x đến 8.5.16
  • Tất cả phiên bản 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.10.x, 8.11.x, 8.12.x
  • Tất cả phiên bản 8.13.x đến 8.13.8
  • Tất cả phiên bản 8.14.x, 8.15.x, 8.16.x
Jira Service Management Data Center
  • Tất cả phiên bản 2.x.x đến 2.0.2
  • Tất cả phiên bản 3.x.x
  • Tất cả phiên bản 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x
  • Tất cả phiên bản 4.5.x đến 4.5.16
  • Tất cả phiên bản 4.6.x, 4.7.x, 4.8.x, 4.9.x, 4.10.x, 4.11.x, 4.12.x
  • Tất cả phiên bản 4.13.x đến 4.13.8
  • Tất cả phiên bản 4.14.x, 4.15.x, 4.16.x
Atlassian khuyến cáo những khách hàng đã tải xuống và cài đặt bất kỳ phiên bản nào bị ảnh hưởng "phải cập nhật các bản vá ngay lập tức để khắc phục lỗ hổng này." Lỗ hổng được đánh giá ở mực nghiêm trọng (critical) và khách hàng "nên đánh giá mức độ ảnh hưởng của nó đối với môi trường CNTT của mình."

Các phiên bản không bị ảnh hưởng
  • Atlassian Cloud
  • Jira Cloud
  • Jira Service Management Cloud
  • Non-Data Center instances of Jira Server (Core & Software) và Jira Service Management
Ngoài ra, những khách hàng đã cập nhật Jira Data Center, Jira Core Data Center, Jira Software Data Center phiên bản 8.5.16, 8.13.8, 8.17.0 hoặc Jira Service Management Data Center phiên bản 4.5.16, 4.13.8 hoặc 4.17.0 thì không cần cập nhật.
Theo: threatpost
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
atlassian cve-2020-36239
Bên trên