Ионут Илашку
  • 21 сентября 2019 г.
  • 01:01 вечера
  • 0

Компания Atlassian выпустила обновления для Jira Service Desk и Jira Service Desk Data Center, чтобы исправить ошибку безопасности критической серьезности, которая вам понравятся использована любым лицом, имеющим доступ к уязвимому порталу клиентов.

Компания исправила дополнительную критическую уязвимость, затрагивающую Jira Server и Jira Data Center, которая позволяет внедрять шаблоны на стороне сервера, что приводит к удаленному выполнению кода.

Доступ к внутренним проектам Jira

Ошибка, влияющая на Jira Service Desk и Jira Service Desk Data Center, является обходом пути URL, приводящим к раскрытию информации, и теперь отслеживается как CVE-2019-14994.

Jira Service Desk. это средство отслеживания запросов службы поддержки, которое позволяет клиентам просматривать проблемы и отправлять запросы при ограниченном доступе к экземплярам Jira.

Исследователь безопасности Сэм Карри обнаружил, что ограничение может быть обойдено любым, имеющим доступ к порталу, как клиентами, так и сотрудниками.

Похожие статьи
Приложение Sense Home Произошла Ошибка Htc One... В приложении Sense Home на HTC произошла ошибка — как поправить HTC (High Tech Computer Corporation) – является тайваньским производителем мобильников и других устройств. Аппараты этой компании занимают высочайшие позиции в разных обзорах, также рейтингах. Хотя редко ПО, вдобавок сами аппараты, являются безупречными. Приложение Sense Home Ближайшее...
Gear Vr Service Что Это За Программа... 9 наилучших игр для Самсунг Gear VR Rift против Vive. Oculus Touch против джойстиков Vive. Похоже это то о таком шаге факте Вы по большей части слышали по теме виртуальной действительности за сегодня. Однако что, если ответ на все эти вопросы один: ни то, ни другое. Что делать, если настоящий герой мира виртуальной действительности совсем не какая...

«Эксплуатация позволяет злоумышленнику просматривать все проблемы во всех проектах Jira, содержащихся в уязвимом экземпляре. Это могут быть проекты Jira Service Desk, проекты Jira Core и проекты Jira Software».

Используя расширенный поиск, Сатнам Наранг из Tenable обнаружил, что существует множество целей, доступных через общедоступный Интернет. Его поиск дал более 25 000 результатов от организаций по всему миру в сфере здравоохранения, государственного управления, образования и промышленности.

CVE-2019-14994 связан с предыдущей уязвимостью, раскрытой исследователем Orange Tsai для Uber в 2018 году, которая разрешала доступ к внутреннему серверу компании путем добавления «;» к параметру пути URL.

Jira Server и Service Desk исправляют критические ошибки безопасности
Похожие статьи
Сбой Создания Apple Id Ошибка На Сервере... «Ошибка была связана с сервером Apple ID». исправление Иной раз можно столкнуться с сообщением «Произошло Ошибка подключения на сервер Apple ID. «Что делать в данном случае, мы обсудим дальше. Описанная ситуация появляется при попытке войти в учетную запись после обновления iPhone. Положение дел Таким образом, устройство со...
Что Означает Ошибка На Телефоне... Расшифровка кодов ошибок на Windows Phone В этой статье описываются все типы ошибок, с которыми сталкивались Windows Phone 7 и Windows Phone 8. Что вы можете сделать, даже такой хороший продукт, как Windows Phone, иногда ошибается. 0x81030119. слишком много приложений на вашем смартфоне. Удалите некоторые приложения из телефона, перезапустите его...

В сообщении на этой неделе Atlassian сообщает, что версии продукта до 3.9.16, с 3.10.0 до 3.16.8, с 4.0.0 до 4.1.3, с 4.2.0 до 4.2.5, с 4.3.0 до 4.3. 4, и версия 4.4.0 подвержены этой уязвимости.

Следующие версии Jira Service Desk Server и Jira Service Desk Data Center включают исправление для CVE-2019-14994: 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4 и 4.4.1.

В качестве временного решения до тех пор, пока обновление не станет возможным, администраторы могут блокировать запросы к JIRA, содержащие » на уровне обратного прокси-сервера или баланса нагрузки, или настраивать JIRA для перенаправления запросов, содержащих », на безопасный URL-адрес. Компания рекомендует добавить приведенное ниже правило в раздел «URLwrite» в «[jira-installation-directory] /atlassian-jira/WEB-INF/urlrewrite.xml»:

Удаленное выполнение кода в Jira Server

В другом сообщении Atlassian раскрывает плагин Importer для внедрения шаблонов, который затрагивает версию 7.0.10 Jira Server и Jira Data Center. Недостаток теперь отслеживается как CVE-2019-15001.

Похожие статьи
Сбой Создания Apple Id Ошибка На Сервере... «Ошибка была связана с сервером Apple ID». исправление Иной раз можно столкнуться с сообщением «Произошло Ошибка подключения на сервер Apple ID. «Что делать в данном случае, мы обсудим дальше. Описанная ситуация появляется при попытке войти в учетную запись после обновления iPhone. Положение дел Таким образом, устройство со...
Не Удалось Восстановить Айфон Ошибка 3194... Юзеры iPhone и iPad довольно изредка подключают свои устройства к компу и синхронизируют с iTunes. В основной массе необходимость в решении этого вопроса появляется, когда требуется перепрошить iPhone. Процесс восстановления устройства довольно обычный, как в обыкновенном, так и в DFU-режиме, однако только когда, если не возникнет никаких ошибок. О...

Серьезность этой проблемы также помечена как критическая, хотя ее можно использовать, если злоумышленник входит в группу администраторов, которая может выполнять большинство административных функций; они не имеют общесистемных разрешений и могут иметь ограниченный доступ, в зависимости от доступа к приложениям.

«Успешное использование этой проблемы позволяет злоумышленнику удаленно выполнять код в системах, на которых установлена ​​уязвимая версия Jira Server или Data Center».

За обнаружение и раскрытие этой уязвимости зачислен Даниил Димитриев. Затронутые версии продукта начинаются с 7.0.10 и включают следующее:

  • с 7.0.10 до 7.6.16 (исправлено в 7.6.16)
  • с 7.7.0 до 7.13.8 (исправлено в 7.13.8)
  • от 8.0.0 до 8.1.3 (исправлено в 8.1.3)
  • с 8.2.0 до 8.2.5 (исправлено в 8.2.5)
  • с 8.3.0 до 8.3.4 (исправлено в 8.3.4)
  • с 8.4.0 до 8.4.1 (исправлено в 8.4.1)

Atlassian рекомендует обновить исправленные версии, но если это невозможно сделать немедленно, существует временный обходной путь, заключающийся в блокировании запроса PUT для конечной точки ‘/rest/jira-importers-plugin/1.0/demo/create’.

Похожие статьи
Больше игр для Stadia Облачные игровые серверы Goo... Google усердно работает над созданием своего потокового сервиса игр Stadia, который планируется запустить через короткий срок, у компании есть следующий сервис облачных игр, который может сильно повлиять на то, как маленькие разработчики создают свои игры. Облачные игровые серверы Google сейчас вступают в альфа-фазу, к в которой требуется разработч...
Gear Vr Service Что Это За Программа... 9 наилучших игр для Самсунг Gear VR Rift против Vive. Oculus Touch против джойстиков Vive. Похоже это то о таком шаге факте Вы по большей части слышали по теме виртуальной действительности за сегодня. Однако что, если ответ на все эти вопросы один: ни то, ни другое. Что делать, если настоящий герой мира виртуальной действительности совсем не какая...