Atlassian просит клиентов обновиться для исправления уязвимостей в Jira

Atlassian предлагает своим корпоративным клиентам исправить критическую уязвимость в версиях продуктов Jira Data Center и Jira Service Management Data Center путем их обновления.

7066d0534093b5a1e7c0f1c1571fa23c.jpg

Уязвимость, отслеживаемая как CVE-2020–36239, делает возможным удаленное выполнение кода злоумышленниками. Это происходит из-за отсутствия проверки аутентификации или неограниченного доступа к портам Ehcache RMI в реализации Jira Ehcache, компонента с открытым исходным кодом.

Ehcache — это широко используемый кэш с открытым исходным кодом, который внедряют в приложения Java для повышения производительности и лучшей масштабируемости. RMI относится к удаленному вызову метода — концепции в Java, аналогичной удаленным вызовам процедур (RPC) в языках ООП.

Затронутые продукты включают:

  • Дата-центр Jira;

  • центр обработки данных Jira Core;

  • центр обработки данных Jira Software;

  • центр обработки данных Jira Service Management.

Проблема не затрагивает Jira Server, не относящиеся к центрам обработки данных (например, Core & Software), Jira Service Management, Jira Cloud и Jira Service Management Cloud.

Bleeding ComputerBleeding Computer

Пользователи Jira Data Center, Jira Core Data Center и Jira Software Data Center должны обновиться до версий 8.5.16, 8.13.8 или 8.17.0. Пользователи Jira Service Management Data Center — до версий 4.5.16, 4.13.8 или 4.17.0.

Atlassian рекомендует клиентам обновить продукты до последней версии, а также ограничить доступ к портам Ehcache RMI.

© Habrahabr.ru