发布时间:2021-07-26 18:12:00,来源:北京奇虎科技有限公司、深信服科技股份有限公司、奇安信科技集团股份有限公司
近日,Atlassian官方发布了Jira远程代码执行漏洞的风险通告,漏洞CVE编号为CVE-2020-36239。攻击者可利用该漏洞通过构造特定请求,触发反序列化漏洞,实现远程代码执行。目前Atlassian已发布安全版本修复该漏洞,建议受影响用户及时升级到安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Jira是Atlassian公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
该漏洞存在于Jira DataCenter、Jira Service Management Data Center等产品中,是由于开源组件Ehcache的RMI服务缺少身份认证,并且默认情况下暴露在40001端口,远程攻击者可在无需身份认证的情况下,通过构造恶意请求,利用RMI端口触发反序列化漏洞,实现远程代码执行。
Jira Data Center, Jira Core Data Center, Jira Software Data Center >= 6.3.0,< 8.5.16
Jira Data Center, Jira Core Data Center, Jira Software Data Center >= 8.6.0,< 8.13.8
Jira Data Center, Jira Core Data Center, Jira Software Data Center >= 8.14.0,< 8.17.0
Jira Service Management Data Center >= 2.0.2,< 4.5.16
Jira Service Management Data Center >= 4.6.0,< 4.13.8
Jira Service Management Data Center >= 4.14.0,< 4.17.0
1. 建议受影响用户及时升级至以下安全版本进行防护。
安全版本:
Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.5.16
Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.13.8
Jira Data Center, Jira Core Data Center, Jira Software Data Center 8.17.0
Jira Service Management Data Center 4.5.16
Jira Service Management Data Center 4.13.8
Jira Service Management Data Center 4.17.0
2. 临时缓解方法:
通过防火墙等类似技术限制对Jira DataCenter,Jira Core Data Center, Jira Software Data Center,Jira Service Management Data Center的EhcacheRMI端口的访问。
https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html