Une faille critique dans la plateforme Atlassian, dans plusieurs versions de ses produits Jira Data Center et Jira Service Management Data Center, doit être patché immédiatement. La plate-forme de génie logiciel est utilisée par 180,000 clients qui sont désormais menacés par les, attaques non authentifiées, à moins qu'ils corrigent le bogue dès que possible.
Le bogue est suivi comme CVE-2020-36239. Une liste des versions concernées est disponible dans Conseil Atlassian.
CVE-2020-36239: Télécommande critique, Défaut non authentifié
CVE-2020-36239 est classé comme une vulnérabilité de sécurité de gravité critique introduite dans la version 6.3.0 du centre de données Jira, Centre de données de base Jira, Centre de données du logiciel Jira, et Jira Service Management Data Center, connu sous le nom de Jira Service Desk avant 4.14.
Selon la description du problème par Atlassian, les attaquants peuvent exécuter du code arbitraire via la désérialisation en raison d'une faille d'authentification manquante:
Centre de données Jira, Centre de données de base Jira, Centre de données du logiciel Jira, et Jira Service Management Data Center ont exposé un service réseau Ehcache RMI que les attaquants, qui peut se connecter au service, sur le port 40001 et potentiellement 40011[0][1][2], pourraient exécuter le code arbitraire de leur choix dans Jira via la désérialisation en raison d'une vulnérabilité d'authentification manquante. Alors qu'Atlassian suggère fortement de restreindre l'accès aux ports Ehcache aux seules instances du centre de données, les versions corrigées de Jira nécessiteront désormais un secret partagé afin de permettre l'accès au service Ehcache.
Pour régler le problème, les parties concernées doivent appliquer les correctifs disponibles immédiatement.
Si les correctifs ne peuvent pas être appliqués pour une raison quelconque, une astuce d'atténuation peut être utilisée. Pour atténuer CVE-2020-36239, vous devez restreindre l'accès aux ports Ehcache RMI à Jira Data Center, Centre de données de base Jira, et Jira Software Data Center, et Jira Service Management Data Center aux instances de cluster uniquement à l'aide d'un pare-feu ou d'une technologie similaire.