Atlassian客戶被告知修補(bǔ)關(guān)鍵的Jira漏洞

Atlassian披露了其部分產(chǎn)品中的一個(gè)嚴(yán)重漏洞，可利用該漏洞使遠(yuǎn)程攻擊者能夠在部分 Jira 數(shù)據(jù)中心產(chǎn)品中執(zhí)行任意代碼。跟蹤為 CVE-2020-36239 的漏洞存在于 Jira Data Center、Jira Core Data Center、Jira Software Data Center 和 Jira Service Management Data Center 產(chǎn)品中。

該漏洞是 Jira 的 Ehcache 實(shí)現(xiàn)中缺少身份驗(yàn)證缺陷的結(jié)果，Ehcache 是一種廣泛使用的開源緩存，Java應(yīng)用程序使用它來增強(qiáng)性能和可擴(kuò)展性。

上個(gè)月，Check Point Research 的網(wǎng)絡(luò)安全研究人員在 Atlassian 的協(xié)作軟件和開發(fā)工具中發(fā)現(xiàn)了安全漏洞，這些漏洞可能被利用來發(fā)起類似SolarWinds 的供應(yīng)鏈攻擊。

利用 Jira 數(shù)據(jù)中心產(chǎn)品中新修補(bǔ)的漏洞，遠(yuǎn)程攻擊者可以連接到 Ehcache 的 RMI(遠(yuǎn)程方法調(diào)用)端口，而無需要求任何身份驗(yàn)證信息，使他們有機(jī)會(huì)通過對象反序列化在 Jira 中執(zhí)行他們選擇的任意代碼。

在BleepingComputer看到的電子郵件公告中，Atlassian 敦促其企業(yè)客戶立即升級(jí)到這些產(chǎn)品的補(bǔ)丁版本。

Atlassian 還為無法立即更新受影響實(shí)例的客戶發(fā)布了解決方法，這基本上涉及將受影響產(chǎn)品上的 Ehcache RMI 端口的訪問限制為僅集群實(shí)例。

Mayank Sharma 在 Linux 上有近 20 年的寫作和報(bào)告經(jīng)驗(yàn)，他希望每個(gè)人都認(rèn)為他是TechRadar Pro在該主題上的專家。當(dāng)然，他對其他計(jì)算主題也同樣感興趣，尤其是網(wǎng)絡(luò)安全、云、容器和編碼。