Ein kritischer Fehler in der Atlassian-Plattform, in mehreren Versionen seiner Produkte Jira Data Center und Jira Service Management Data Center, sollte sofort gepatcht werden. Die Software-Engineering-Plattform wird verwendet von 180,000 Kunden, die jetzt durch Remote gefährdet sind, nicht authentifizierte Angriffe, es sei denn, sie beheben den Fehler so schnell wie möglich.
Der Fehler wird als CVE-2020-36239 verfolgt. Eine Liste der betroffenen Versionen ist verfügbar in Ratgeber von Atlassian.
CVE-2020-36239: Kritische Fernbedienung, Nicht authentifizierter Fehler
CVE-2020-36239 wird als Sicherheitsschwachstelle mit kritischem Schweregrad eingestuft, die in Version . eingeführt wurde 6.3.0 des Jira-Rechenzentrums, Jira Core-Rechenzentrum, Jira Software-Rechenzentrum, und Jira Service Management Data Center, bekannt als Jira Service Desk vor 4.14.
Laut Atlassian's Beschreibung des Problems, Angreifer können beliebigen Code ausführen über Deserialisierung aufgrund eines fehlenden Authentifizierungsfehlers:
Jira-Rechenzentrum, Jira Core-Rechenzentrum, Jira Software-Rechenzentrum, und Jira Service Management Data Center haben einen Ehcache RMI-Netzwerkdienst aufgedeckt, den Angreifer, wer kann sich mit dem Dienst verbinden, auf Port 40001 und möglicherweise 40011[0][1][2], könnten durch Deserialisierung aufgrund einer fehlenden Authentifizierungs-Schwachstelle beliebigen Code ihrer Wahl in Jira ausführen. Atlassian empfiehlt zwar dringend, den Zugriff auf die Ehcache-Ports nur auf Rechenzentrumsinstanzen zu beschränken, feste Versionen von Jira benötigen nun ein gemeinsames Geheimnis, um den Zugriff auf den Ehcache-Dienst zu ermöglichen.
Das Problem zu lösen, Betroffene sollten die verfügbaren Patches sofort anwenden.
Wenn die Patches aus irgendeinem Grund nicht angewendet werden können, ein Abschwächungstrick kann verwendet werden. Zur Abschwächung von CVE-2020-36239, Sie sollten den Zugriff auf die Ehcache RMI-Ports auf das Jira Data Center beschränken restrict, Jira Core-Rechenzentrum, und Jira Software Data Center, und Jira Service Management Data Center, um mithilfe einer Firewall oder einer ähnlichen Technologie nur Instanzen zu Clustern.