Atlassian客戶被告知修補關鍵的Jira漏洞

Atlassian披露了其部分產品中的一個嚴重漏洞，可利用該漏洞使遠程攻擊者能夠在部分 Jira 數據中心產品中執(zhí)行任意代碼。跟蹤為 CVE-2020-36239 的漏洞存在于 Jira Data Center、Jira Core Data Center、Jira Software Data Center 和 Jira Service Management Data Center 產品中。

該漏洞是 Jira 的 Ehcache 實現中缺少身份驗證缺陷的結果，Ehcache 是一種廣泛使用的開源緩存，Java應用程序使用它來增強性能和可擴展性。

上個月，Check Point Research 的網絡安全研究人員在 Atlassian 的協(xié)作軟件和開發(fā)工具中發(fā)現了安全漏洞，這些漏洞可能被利用來發(fā)起類似SolarWinds 的供應鏈攻擊。

利用 Jira 數據中心產品中新修補的漏洞，遠程攻擊者可以連接到 Ehcache 的 RMI(遠程方法調用)端口，而無需要求任何身份驗證信息，使他們有機會通過對象反序列化在 Jira 中執(zhí)行他們選擇的任意代碼。

在BleepingComputer看到的電子郵件公告中，Atlassian 敦促其企業(yè)客戶立即升級到這些產品的補丁版本。

Atlassian 還為無法立即更新受影響實例的客戶發(fā)布了解決方法，這基本上涉及將受影響產品上的 Ehcache RMI 端口的訪問限制為僅集群實例。

Mayank Sharma 在 Linux 上有近 20 年的寫作和報告經驗，他希望每個人都認為他是TechRadar Pro在該主題上的專家。當然，他對其他計算主題也同樣感興趣，尤其是網絡安全、云、容器和編碼。