Cảnh báo: Lỗ hổng nghiêm trọng trong Jira có thể dẫn đến thực thi mã từ xa

Bảo Mật, Tuyển dụng  |     |  

Atlassian vừa phát đi cảnh báo liên quan đến lỗ hổng bảo mật trong các sản phẩm Jira Data Center và Jira Service Management Data Center. Lỗ hổng này có thể cho phép những kẻ tấn công từ xa, chưa được xác thực thực thi mã tùy ý. Các khách hàng doanh nghiệp sử dụng sản phẩm này được yêu cầu cập nhật bản vá ngay lập tức.

Atlassian là nền tảng có khoảng 180.000 doanh nghiệp sử dụng để thiết kế phần mềm và quản lý dự án. Phần mềm Jira của hãng là công cụ quản lý theo dõi và quản lý lỗi /vấn đề trong dự án.
Lỗ hổng được đánh số CVE-2020-36239, liên quan đến việc xác thực bị không đầy đủ khi triển khai Ehcache của Jira. Atlassian cho biết lỗi này ảnh hưởng tới phiên bản 6.3.0 của Jira Data Center, Jira Core Data Center, Jira Software Data Center và Jira Service Management Data Center (còn gọi là Jira Service Desk trước 4.14).
Theo cố vấn bảo mật của Atlassian, danh sách các sản phẩm trên đã sử dụng một dịch vụ gọi phương thức từ xa Ehcache (RMI) mà những kẻ tấn công có thể kết nối với dịch vụ trên cổng 40001 hoặc là 40011 sau đó có thể thực thi mã tùy ý thông qua lỗi deserialization do thiếu xác thực.
RMI là một API hoạt động như một cơ chế cho phép giao tiếp từ xa giữa các chương trình được viết bằng Java. Nó cho phép một đối tượng nằm trong một máy ảo Java (JVM) gọi một đối tượng đang chạy trên JVM khác. Thông thường, nó liên quan đến một chương trình trên máy chủ và một chương trình trên máy khách.

Phiên bản ảnh hưởng
Jira Data Center, Jira Core Data Center và Jira Software Data Center

    Phiên bản từ 6.3.0 đến 8.5.16
    Phiên bản từ 8.6.0 đến 8.13.8
    Phiên bản từ 8.14.0 đến 8.17.0

Jira Service Management Data Center

    Phiên bản từ 2.0.2 đến 4.5.16
    Phiên bản từ 4.6.0 đến 4.13.8
    Phiên bản từ 4.14.0 đến 4.17.0

Jira Data Center, Jira Core Data Center và Jira Software Data Center

    Tất cả phiên bản 6.3.x, 6.4.x
    Tất cả phiên bản 7.0.x, 7.1.x , 7.2.x, 7.3.x, 7.4.x, 7.5.x, 7.6.x, 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x, 7.13.x
    Tất cả phiên bản 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x
    Tất cả phiên bản 8.5.x đến 8.5.16
    Tất cả phiên bản 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.10.x, 8.11.x, 8.12.x
    Tất cả phiên bản 8.13.x đến 8.13.8
    Tất cả phiên bản 8.14.x, 8.15.x, 8.16.x

Jira Service Management Data Center

    Tất cả phiên bản 2.x.x đến 2.0.2
    Tất cả phiên bản 3.x.x
    Tất cả phiên bản 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x
    Tất cả phiên bản 4.5.x đến 4.5.16
    Tất cả phiên bản 4.6.x, 4.7.x, 4.8.x, 4.9.x, 4.10.x, 4.11.x, 4.12.x
    Tất cả phiên bản 4.13.x đến 4.13.8
    Tất cả phiên bản 4.14.x, 4.15.x, 4.16.x

Atlassian khuyến cáo những khách hàng đã tải xuống và cài đặt bất kỳ phiên bản nào bị ảnh hưởng “phải cập nhật các bản vá ngay lập tức để khắc phục lỗ hổng này.” Lỗ hổng được đánh giá ở mực nghiêm trọng (critical) và khách hàng “nên đánh giá mức độ ảnh hưởng của nó đối với môi trường CNTT của mình.”
Các phiên bản không bị ảnh hưởng

    Atlassian Cloud
    Jira Cloud
    Jira Service Management Cloud
    Non-Data Center instances of Jira Server (Core & Software) và Jira Service Management

Ngoài ra, những khách hàng đã cập nhật Jira Data Center, Jira Core Data Center, Jira Software Data Center phiên bản 8.5.16, 8.13.8, 8.17.0 hoặc Jira Service Management Data Center phiên bản 4.5.16, 4.13.8 hoặc 4.17.0 thì không cần cập nhật.