【安全風險通告】Jira遠程代碼執行漏洞安全風險通告
風險通告
近日,奇安信CERT監測到Atlassian 發布了關于Jira Data Center和Jira Service Management Data Center等產品的遠程代碼執行漏洞通告(CVE-2020-36239)。該漏洞與Jira Data Center等產品中使用的 Ehcache 開源組件相關。Ehcache RMI服務默認在40001等端口開放,遠程攻擊者不需要經過身份認證即可向該 RMI 端口發送特制請求來觸發反序列化漏洞,成功利用此漏洞可執行任意代碼。鑒于此漏洞影響較大,建議客戶盡快自查修復。
當前漏洞狀態
細節是否公開
PoC狀態
EXP狀態
在野利用
否
未知
未知
未知
漏洞描述
JIRA是Atlassian公司出品的項目與事務跟蹤工具,被廣泛應用于缺陷跟蹤、客戶服務、需求收集、流程審批、任務跟蹤、項目跟蹤和敏捷管理等工作領域,其已被分布于115個國家的19000多個組織中的管理人員、開發人員、分析人員、測試人員和其他人員所廣泛使用。
近日,奇安信CERT監測到Atlassian 發布了Jira Data Center和Jira Service Management Data Center遠程代碼執行漏洞通告(CVE-2020-36239)。該漏洞與Jira Data Center等產品中使用的 Ehcache 開源組件相關。Ehcache 是一種開源 Java 分布式緩存,用于通用緩存、Java EE 和輕量級容器,用于提高性能并簡化可擴展性。Ehcache RMI服務默認在40001等端口開放,遠程攻擊者不需要經過身份認證即可向該 RMI 端口發送特制請求來觸發反序列化漏洞,成功利用此漏洞可執行任意代碼。
此漏洞僅影響 Jira Data Center及Jira Service Management Data Center系列產品,非Data Center產品不受此漏洞影響,如:Jira Server (i.e. Core & Software)、Jira Service Management、Jira Cloud以及Jira Service Management Cloud。
風險等級
奇安信 CERT風險評級為:高危
風險等級:藍色(一般事件)
影響范圍
6.3.0 <= Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.5.16
8.6.0 <= Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.13.8
8.14.0 <= Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.17.0
2.0.2 <= Jira Service Management Data Center < 4.5.16
4.6.0 <= Jira Service Management Data Center < 4.13.8
4.14.0 <= Jira Service Management Data Center < 4.17.0
處置建議
請盡快升級至安全版本(建議在升級前做好數據備份及測試工作):
Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.5.16
Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.13.8
Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.17.0
Jira Service Management Data Center 4.5.16
Jira Service Management Data Center 4.13.8
Jira Service Management Data Center 4.17.0
若無法立即升級至安全版本,可通過使用防火墻等技術對Jira Data Center、Jira Core Data Center、Jira Software Data Center、Jira Service Management Data Center的Ehcache RMI 端口進行訪問限制。
詳情可參考以下鏈接:
https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html?spm=a2c4g.11174386.n2.3.3dbc4c07fWeivF
參考資料
[1]https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html
