}
Atlassian là nền tảng có khoảng 180.000 doanh nghiệp sử dụng để thiết kế phần mềm và quản lý dự án. Phần mềm Jira của hãng là công cụ quản lý theo dõi và quản lý lỗi /vấn đề trong dự án.
Lỗ hổng được đánh số CVE-2020-36239, liên quan đến việc xác thực bị không đầy đủ khi triển khai Ehcache của Jira. Atlassian cho biết lỗi này ảnh hưởng tới phiên bản 6.3.0 của Jira Data Center, Jira Core Data Center, Jira Software Data Center và Jira Service Management Data Center (còn gọi là Jira Service Desk trước 4.14).
Theo cố vấn bảo mật của Atlassian, danh sách các sản phẩm trên đã sử dụng một dịch vụ gọi phương thức từ xa Ehcache (RMI) mà những kẻ tấn công có thể kết nối với dịch vụ trên cổng 40001 hoặc là 40011 sau đó có thể thực thi mã tùy ý thông qua lỗi deserialization do thiếu xác thực.
RMI là một API hoạt động như một cơ chế cho phép giao tiếp từ xa giữa các chương trình được viết bằng Java. Nó cho phép một đối tượng nằm trong một máy ảo Java (JVM) gọi một đối tượng đang chạy trên JVM khác. Thông thường, nó liên quan đến một chương trình trên máy chủ và một chương trình trên máy khách.
Hoạt động của RMI
Phiên bản ảnh hưởng
Jira Data Center, Jira Core Data Center và Jira Software Data Center
- Phiên bản từ 6.3.0 đến 8.5.16
- Phiên bản từ 8.6.0 đến 8.13.8
- Phiên bản từ 8.14.0 đến 8.17.0
Jira Service Management Data Center
- Phiên bản từ 2.0.2 đến 4.5.16
- Phiên bản từ 4.6.0 đến 4.13.8
- Phiên bản từ 4.14.0 đến 4.17.0
Jira Data Center, Jira Core Data Center và Jira Software Data Center
- Tất cả phiên bản 6.3.x, 6.4.x
- Tất cả phiên bản 7.0.x, 7.1.x , 7.2.x, 7.3.x, 7.4.x, 7.5.x, 7.6.x, 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x, 7.13.x
- Tất cả phiên bản 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x
- Tất cả phiên bản 8.5.x đến 8.5.16
- Tất cả phiên bản 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.10.x, 8.11.x, 8.12.x
- Tất cả phiên bản 8.13.x đến 8.13.8
- Tất cả phiên bản 8.14.x, 8.15.x, 8.16.x
Jira Service Management Data Center
- Tất cả phiên bản 2.x.x đến 2.0.2
- Tất cả phiên bản 3.x.x
- Tất cả phiên bản 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x
- Tất cả phiên bản 4.5.x đến 4.5.16
- Tất cả phiên bản 4.6.x, 4.7.x, 4.8.x, 4.9.x, 4.10.x, 4.11.x, 4.12.x
- Tất cả phiên bản 4.13.x đến 4.13.8
- Tất cả phiên bản 4.14.x, 4.15.x, 4.16.x
Atlassian khuyến cáo những khách hàng đã tải xuống và cài đặt bất kỳ phiên bản nào bị ảnh hưởng “phải cập nhật các bản vá ngay lập tức để khắc phục lỗ hổng này.” Lỗ hổng được đánh giá ở mực nghiêm trọng (critical) và khách hàng “nên đánh giá mức độ ảnh hưởng của nó đối với môi trường CNTT của mình.”
Các phiên bản không bị ảnh hưởng
- Atlassian Cloud
- Jira Cloud
- Jira Service Management Cloud
- Non-Data Center instances of Jira Server (Core & Software) và Jira Service Management
Ngoài ra, những khách hàng đã cập nhật Jira Data Center, Jira Core Data Center, Jira Software Data Center phiên bản 8.5.16, 8.13.8, 8.17.0 hoặc Jira Service Management Data Center phiên bản 4.5.16, 4.13.8 hoặc 4.17.0 thì không cần cập nhật.
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment