Atlassian客戶被告知修補關(guān)鍵的Jira漏洞

Atlassian披露了其部分產(chǎn)品中的一個嚴重漏洞，可利用該漏洞使遠程攻擊者能夠在部分 Jira 數(shù)據(jù)中心產(chǎn)品中執(zhí)行任意代碼。跟蹤為 CVE-2020-36239 的漏洞存在于 Jira Data Center、Jira Core Data Center、Jira Software Data Center 和 Jira Service Management Data Center 產(chǎn)品中。

該漏洞是 Jira 的 Ehcache 實現(xiàn)中缺少身份驗證缺陷的結(jié)果，Ehcache 是一種廣泛使用的開源緩存，Java應(yīng)用程序使用它來增強性能和可擴展性。

上個月，Check Point Research 的網(wǎng)絡(luò)安全研究人員在 Atlassian 的協(xié)作軟件和開發(fā)工具中發(fā)現(xiàn)了安全漏洞，這些漏洞可能被利用來發(fā)起類似SolarWinds 的供應(yīng)鏈攻擊。

利用 Jira 數(shù)據(jù)中心產(chǎn)品中新修補的漏洞，遠程攻擊者可以連接到 Ehcache 的 RMI(遠程方法調(diào)用)端口，而無需要求任何身份驗證信息，使他們有機會通過對象反序列化在 Jira 中執(zhí)行他們選擇的任意代碼。

在BleepingComputer看到的電子郵件公告中，Atlassian 敦促其企業(yè)客戶立即升級到這些產(chǎn)品的補丁版本。

Atlassian 還為無法立即更新受影響實例的客戶發(fā)布了解決方法，這基本上涉及將受影響產(chǎn)品上的 Ehcache RMI 端口的訪問限制為僅集群實例。

Mayank Sharma 在 Linux 上有近 20 年的寫作和報告經(jīng)驗，他希望每個人都認為他是TechRadar Pro在該主題上的專家。當然，他對其他計算主題也同樣感興趣，尤其是網(wǎng)絡(luò)安全、云、容器和編碼。