2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
Atlassian披露了其部分產(chǎn)品中的一個(gè)嚴(yán)重漏洞,可利用該漏洞使遠(yuǎn)程攻擊者能夠在部分 Jira 數(shù)據(jù)中心產(chǎn)品中執(zhí)行任意代碼。跟蹤為 CVE-2020-36239 的漏洞存在于 Jira Data Center、Jira Core Data Center、Jira Software Data Center 和 Jira Service Management Data Center 產(chǎn)品中。
該漏洞是 Jira 的 Ehcache 實(shí)現(xiàn)中缺少身份驗(yàn)證缺陷的結(jié)果,Ehcache 是一種廣泛使用的開源緩存,Java應(yīng)用程序使用它來增強(qiáng)性能和可擴(kuò)展性。
上個(gè)月,Check Point Research 的網(wǎng)絡(luò)安全研究人員在 Atlassian 的協(xié)作軟件和開發(fā)工具中發(fā)現(xiàn)了安全漏洞,這些漏洞可能被利用來發(fā)起類似SolarWinds 的供應(yīng)鏈攻擊。
利用 Jira 數(shù)據(jù)中心產(chǎn)品中新修補(bǔ)的漏洞,遠(yuǎn)程攻擊者可以連接到 Ehcache 的 RMI(遠(yuǎn)程方法調(diào)用)端口,而無需要求任何身份驗(yàn)證信息,使他們有機(jī)會(huì)通過對(duì)象反序列化在 Jira 中執(zhí)行他們選擇的任意代碼。
在BleepingComputer看到的電子郵件公告中,Atlassian 敦促其企業(yè)客戶立即升級(jí)到這些產(chǎn)品的補(bǔ)丁版本。
Atlassian 還為無法立即更新受影響實(shí)例的客戶發(fā)布了解決方法,這基本上涉及將受影響產(chǎn)品上的 Ehcache RMI 端口的訪問限制為僅集群實(shí)例。
Mayank Sharma 在 Linux 上有近 20 年的寫作和報(bào)告經(jīng)驗(yàn),他希望每個(gè)人都認(rèn)為他是TechRadar Pro在該主題上的專家。當(dāng)然,他對(duì)其他計(jì)算主題也同樣感興趣,尤其是網(wǎng)絡(luò)安全、云、容器和編碼。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。