正文

【安全风险通告】Jira远程代码执行漏洞安全风险通告

admin
admin V管理员 /0 评论 /34 阅读
0102
此篇文章发布距今已超过9天,您需要注意文章的内容或图片是否可用!

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。

风险通告

近日,奇安信CERT监测到Atlassian 发布了关于Jira Data Center和Jira Service Management Data Center等产品的远程代码执行漏洞通告(CVE-2020-36239)。该漏洞与Jira Data Center等产品中使用的 Ehcache 开源组件相关。Ehcache RMI服务默认在40001等端口开放,远程攻击者不需要经过身份认证即可向该 RMI 端口发送特制请求来触发反序列化漏洞,成功利用此漏洞可执行任意代码。鉴于此漏洞影响较大,建议客户尽快自查修复。

当前漏洞状态

细节是否公开

PoC状态

EXP状态

在野利用

未知

未知

未知

漏洞描述

JIRA是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域,其已被分布于115个国家的19000多个组织中的管理人员、开发人员、分析人员、测试人员和其他人员所广泛使用。

近日,奇安信CERT监测到Atlassian 发布了Jira Data Center和Jira Service Management Data Center远程代码执行漏洞通告(CVE-2020-36239)。该漏洞与Jira Data Center等产品中使用的 Ehcache 开源组件相关。Ehcache 是一种开源 Java 分布式缓存,用于通用缓存、Java EE 和轻量级容器,用于提高性能并简化可扩展性。Ehcache RMI服务默认在40001等端口开放,远程攻击者不需要经过身份认证即可向该 RMI 端口发送特制请求来触发反序列化漏洞,成功利用此漏洞可执行任意代码。

此漏洞仅影响 Jira Data Center及Jira Service Management Data Center系列产品,非Data Center产品不受此漏洞影响,如:Jira Server (i.e. Core & Software)、Jira Service Management、Jira Cloud以及Jira Service Management Cloud。

风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)

影响范围

6.3.0 <= Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.5.16 

8.6.0 <= Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.13.8 

8.14.0 <= Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.17.0 

2.0.2 <= Jira Service Management Data Center < 4.5.16 

4.6.0 <= Jira Service Management Data Center < 4.13.8 

4.14.0 <= Jira Service Management Data Center < 4.17.0

处置建议

请尽快升级至安全版本(建议在升级前做好数据备份及测试工作):

Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.5.16

Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.13.8

Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.17.0

Jira Service Management Data Center 4.5.16

Jira Service Management Data Center 4.13.8

Jira Service Management Data Center 4.17.0

若无法立即升级至安全版本,可通过使用防火墙等技术对Jira Data Center、Jira Core Data Center、Jira Software Data Center、Jira Service Management Data Center的Ehcache RMI 端口进行访问限制。

详情可参考以下链接:

https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html?spm=a2c4g.11174386.n2.3.3dbc4c07fWeivF

参考资料

[1]https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html

时间线

2021年7月24日,奇安信 CERT发布安全风险通告

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com