Een kritieke fout in het Atlassian-platform, in meerdere versies van zijn Jira Data Center- en Jira Service Management Data Center-producten, moet onmiddellijk worden gepatcht. Het software engineering platform wordt gebruikt door: 180,000 klanten die nu worden bedreigd door remote, niet-geverifieerde aanvallen, tenzij ze de bug zo snel mogelijk patchen.
De bug wordt bijgehouden als CVE-2020-36239. Een lijst met getroffen versies is beschikbaar in Advies van Atlassian.
CVE-2020-36239: Kritieke afstandsbediening, Niet-geverifieerde fout
CVE-2020-36239 is geclassificeerd als een kritiek beveiligingslek dat in versie is geïntroduceerd 6.3.0 van Jira Data Center, Jira Core-datacenter, Jira Software-datacenter, en Jira Service Management Data Center, voorheen bekend als Jira Service Desk 4.14.
Volgens Atlassian's beschrijving van het probleem, aanvallers kunnen uitvoeren van willekeurige code via deserialisatie vanwege een ontbrekende authenticatiefout:
Jira datacenter, Jira Core-datacenter, Jira Software-datacenter, en Jira Service Management Data Center hebben een Ehcache RMI-netwerkservice blootgelegd die aanvallers, wie kan verbinding maken met de service, op poort 40001 en mogelijk 40011[0][1][2], kunnen willekeurige code van hun keuze in Jira uitvoeren door deserialisatie vanwege een ontbrekende authenticatiekwetsbaarheid. Hoewel Atlassian sterk aanraadt om de toegang tot de Ehcache-poorten te beperken tot alleen datacenterinstanties, vaste versies van Jira hebben nu een gedeeld geheim nodig om toegang te krijgen tot de Ehcache-service.
Het probleem aankaarten, betrokken partijen moeten de beschikbare patches onmiddellijk toepassen.
Als de patches om de een of andere reden niet kunnen worden toegepast, een mitigatietruc kan worden gebruikt. Om CVE-2020-36239 te verminderen, u moet de toegang tot de Ehcache RMI-poorten beperken tot Jira Data Center, Jira Core-datacenter, en Jira Software Data Center, en Jira Service Management Data Center om alleen instanties te clusteren met behulp van een firewall of een vergelijkbare technologie.