开源组件 Ehcache中被曝严重漏洞,影响多款Jira产品
编译:奇安信代码卫士
Atlassian 公司督促企业客户修复其 Jira Data Center 和 Jira Service Management Data Center 产品很多版本中的一个严重漏洞 (CVE-2020-36239)。
由于 Jira 在开源组件 Ehcache 实现中存在一个认证缺失缺陷,因此该漏洞可使远程攻击者获得任意代码执行能力。
认证缺失引发的严重远程代码执行
昨天,Atlassian 公司披露了其 Jira Data Center 产品中的严重漏洞(CVE-2020-36239),可导致远程未认证攻击者在某些 Jira Data Center 产品中执行任意代码。该公司要求企业客户尽快升级实例,修复该漏洞。
该漏洞是因为对 Ehcache RMI 端口缺乏认证或对其访问权限不受限制造成的。Ehcache 是 Java 应用广泛使用的用于增强性能和可扩展性的开源缓存。RMI 即“远程方法调用”,它是 Java 中的一个概念,类似于 OOP 语言中的远程程序调用 (RPC)。RMI 可使程序员在运行本地方法或程序时,直接从应用中调用远程对象中的方法,如在共享网络运行的应用内的方法。程序员无需担心实现底层网络功能即可完成,而这就是 RMI APIs 的方便之处。
在这种上下文中,如下所列的多种 Jira 产品暴露在端口40001以及可能在40011上的 Ehcache RMI 网络服务。远程攻击者可在无需任何认证的情况下连接到这些端口,并通过对象反序列化在 Jira 中执行任意代码。受影响产品包括:
Jira Data Center
Jira Core Data Center
Jira Software Data Center
Jira Service Management Data Center
该漏洞由 Harrison Neal 发现并报告。
受影响版本和缓解指南
该漏洞影响的 Jira 产品版本如下:
Jira Data Center、Jira Core Data Center和Jira Software Data Center
6.3.0 <= 版本 < 8.5.16
8.6.0 <= 版本 < 8.13.8
8.14.0 <= 版本< 8.17.0
Jira Service Management Data Center
2.0.2 <= version < 4.5.16
4.6.0 <= version < 4.13.8
4.14.0 <= version < 4.17.0
Jira Data Center、Jira Core Data Center 和Jira Software Data Center
6.3.x, 6.4.x 所有版本
7.0.x、7.1.x、7.2.x、7.3.x、7.4.x、7.5.x、7.6.x、7.7.x、7.8.x、7.9.x、7.10.x、7.11.x、7.12.x和7.13.x所有版本
8.0.x、8.1.x、8.2.x、8.3.x和8.4.x 所有版本
低于8.5.16的所有8.5.x版本
8.6.x、8.7.x、8.8.x、8.9.x、8.10.x、8.11.x和8.12.x所有版本
低于8.13.8的所有8.13.x版本
8.14.x、8.15.x和8.16.x 版本
Jira Service Management Data Center
高于2.0.2的所有2.x.x版本
3.x.x 所有版本
4.0.x、4.1.x、4.2.x、4.3.x和4.4.x 所有版本
低于4.5.16的4.5.x所有版本
4.6.x、4.7.x、4.8.x、4.9.x、4.10.x、4.11.x和4.12.x 所有版本
低于4.13.8的4.13.x所有版本
4.14.x、4.15.x, 和4.16.x 所有版本
幸运的是,该漏洞并不影响Jira Server 的非数据中心实例(如 Core & Software)、Jira Service Management、Jira Cloud 和 Jira Service Management Cloud。
Jira Data Center 产品用户应升级至如下版本以修复该漏洞:
Jira Data Center、Jira Core Data Center和 Jira Software Data Center 用户:升级至8.5.16、8.13.8,或 8.17.0。
Jira Service Management Data Center 用户:升级至4.5.16、4.13.8或4.17.0。
无法升级实例的,可参照安全公告中提供的缓解措施。
Atlassian 公司建议客户升级至产品的最新版本,并限制对 Ehcache RMI 端口的访问权限。
用户应使用防火墙或类似技术保护 Ehcache RMI 端口40001和40011,仅有 Jira Data Center、Jira Core Data Center、Jira Software Data Center 以及 Jira Service Management Data Center 的集群实例可访问。
Atlassian 公司发布安全公告指出,“虽然 Atlassian 强烈建议仅允许 Data Center 实例访问 Ehcache 端口,但已修复的 Jira 版本要求共享机密以便访问 Ehcache服务。”
Jira Server 和 Data Center修复严重的模板注入漏洞
大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day
钱少事多,开源项目维护人员几乎集体出走
在线阅读版:《2021中国软件供应链安全分析报告》全文
https://www.bleepingcomputer.com/news/security/atlassian-asks-customers-to-patch-critical-jira-vulnerability/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。