Atlassianプラットフォームの重大な欠陥, JiraDataCenterおよびJiraServiceManagementDataCenter製品の複数のバージョンで, すぐにパッチを適用する必要があります. ソフトウェアエンジニアリングプラットフォームは、 180,000 現在リモートによって危険にさらされている顧客, 認証されていない攻撃, 彼らができるだけ早くバグにパッチを当てない限り.
バグはCVE-2020-36239として追跡されています. 影響を受けるバージョンのリストは、 アトラシアンのアドバイザリ.
CVE-2020-36239: クリティカルリモート, 認証されていない欠陥
CVE-2020-36239は、バージョンで導入された重大な重大度のセキュリティの脆弱性として評価されています 6.3.0 Jiraデータセンターの, Jiraコアデータセンター, Jiraソフトウェアデータセンター, およびJiraサービス管理データセンター, 以前はJiraサービスデスクとして知られていました 4.14.
アトラシアンの問題の説明によると, 攻撃者は 任意のコードを実行する 認証の欠陥がないため、逆シリアル化を介して:
Jiraデータセンター, Jiraコアデータセンター, Jiraソフトウェアデータセンター, Jira Service Management Data Centerは、攻撃者がEhcacheRMIネットワークサービスを公開しました, サービスに接続できる人, ポートで 40001 そして潜在的に 40011[0][1][2], 認証の脆弱性が欠落しているため、逆シリアル化によってJiraで任意のコードが実行される可能性があります. Atlassianは、Ehcacheポートへのアクセスをデータセンターインスタンスのみに制限することを強くお勧めします, Jiraの修正バージョンでは、Ehcacheサービスへのアクセスを許可するために共有シークレットが必要になります.
問題に対処するには, 影響を受ける当事者は、利用可能なパッチをすぐに適用する必要があります.
何らかの理由でパッチを適用できない場合, 緩和トリックを利用することができます. CVE-2020-36239を軽減するには, EhcacheRMIポートへのアクセスをJiraデータセンターに制限する必要があります, Jiraコアデータセンター, およびJiraソフトウェアデータセンター, およびJiraServiceManagement Data Centerは、ファイアウォールまたは同様のテクノロジーを使用してインスタンスをクラスター化するだけです。.