Hjem > Cyber ​​Nyheder > CVE-2020-36239: Kritisk sårbarhed i Atlassian skal rettes straks
CYBER NEWS

CVE-2020-36239: Kritisk sårbarhed i Atlassian skal rettes straks

ved   |  Last Update:  |  0 Kommentarer  

CVE-2020-36239-atlassian-sensorstechforumEn kritisk fejl i Atlassian-platformen, i flere versioner af sine Jira Data Center- og Jira Service Management Data Center-produkter, skal patches med det samme. Software engineering platformen bruges af 180,000 kunder, som nu er truet af fjernbetjening, uautoriserede angreb, medmindre de lapper fejlen så hurtigt som muligt.

Fejlen spores som CVE-2020-36239. En liste over berørte versioner er tilgængelig i Atlassian's rådgivende.




CVE-2020-36239: Kritisk fjernbetjening, Uautentificeret fejl

CVE-2020-36239 er klassificeret som en kritisk sværhedsgrad af sikkerhedssårbarhed introduceret i version 6.3.0 fra Jira Data Center, Jira Core Data Center, Jira Software Data Center, og Jira Service Management Data Center, kendt som Jira Service Desk før 4.14.

I henhold til Atlassian's beskrivelse af problemet, angribere kan udføre vilkårlig kode via deserialisering på grund af en manglende godkendelsesfejl:

Jira Data Center, Jira Core Data Center, Jira Software Data Center, og Jira Service Management Data Center udsatte en Ehcache RMI-netværkstjeneste, som angriber, der kan oprette forbindelse til tjenesten, på port 40001 og potentielt 40011[0][1][2], kunne udføre vilkårlig kode efter eget valg i Jira gennem deserialisering på grund af en manglende godkendelsessårbarhed. Mens Atlassian kraftigt foreslår at begrænse adgangen til Ehcache-porte til kun datacenterforekomster, faste versioner af Jira vil nu kræve en delt hemmelighed for at give adgang til Ehcache-tjenesten.

For at løse problemet, berørte parter bør anvende de tilgængelige programrettelser med det samme.

Hvis plasterne af en eller anden grund ikke kan anvendes, et afbødningstrick kan bruges. For at afbøde CVE-2020-36239, du bør begrænse adgangen til Ehcache RMI-porte til Jira Data Center, Jira Core Data Center, og Jira Software Data Center, og Jira Service Management Data Center til kun klyngeforekomster ved hjælp af en firewall eller en lignende teknologi.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Relaterede indlæg:
  1. CVE-2021-26084: Kritisk atlassisk sammenfaldsfejl udnyttet i naturen CVE-2021-26084 is a vulnerability in Atlassian Confluence deployments across Windows...
  2. Adobe Patches 112 Sårbarheder i nyeste patch-pakke (CVE-2018-5007) Adobe har udgivet den seneste patch-pakke, der adresserer en...
  3. CVE-2022-36804: Kritisk Atlassian Bitbucket-serverfejl Another critical Atlassian vulnerability has been reported in numerous API...
  4. CVE-2022-26134: Kritisk RCE-sårbarhed i Confluence-server og datacenter CVE-2022-26134 is a new critical unauthenticated remote code execution vulnerability...
  5. CVE-2020-7200: Kritisk HPE-sårbarhed nu opdateret A critical vulnerability in HEP SIM could enable attackers to...
  6. De mest udnyttede sårbarheder i 2021 Inkluder CVE-2021-44228, CVE-2021-26084 Som var de mest rutinemæssigt udnyttede sikkerhedssårbarheder i 2021?...
  7. Nye kritiske fejl i Firefox, Chrome og Edge (CVE-2020-16044) Brugere skal patch flere nye browsersårbarheder, der påvirker Chrome, Firefox,...
  8. CVE-2020-6819, CVE-2020-6820: Kritiske Zero-Day Bugs i Firefox Your Firefox browser needs to be patched as soon as...

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig