Tecnología

Atlassian pide a los clientes que parcheen la vulnerabilidad crítica de Jira

jira

Atlassian está instando a sus clientes empresariales a parchear una vulnerabilidad crítica en muchas versiones de sus productos Jira Data Center y Jira Service Management Data Center.

La vulnerabilidad rastreada como CVE-2020-36239 puede brindar a los atacantes remotos capacidades de ejecución de código arbitrario, debido a una falla de autenticación faltante en la implementación de Jira de Ehcache, un componente de código abierto.

Ejecución de código remoto crítico debido a la falta de autenticación

Ayer, Atlassian reveló una vulnerabilidad crítica en sus productos Jira Data Center.

La vulnerabilidad rastreada como CVE-2020-36239 permite a atacantes remotos no autenticados ejecutar código arbitrario en algunos productos de Jira Data Center.

En un anuncio por correo electrónico visto por BleepingComputer esta semana, Atlassian les pide a sus clientes empresariales que actualicen sus instancias lo antes posible como un medio para corregir este error:

Correo electrónico de Atlassian JIRA
Atlassian pide a los clientes que parcheen una vulnerabilidad crítica (Computadora que suena)

La vulnerabilidad se debe a una verificación de autenticación faltante o, en otras palabras, al acceso sin restricciones a los puertos RMI de Ehcache.

Ehcache es un caché de código abierto ampliamente utilizado por las aplicaciones Java para mejorar el rendimiento y la escalabilidad.

RMI se refiere a la invocación de métodos remotos, un concepto en Java similar a llamadas a procedimientos remotos (RPC) en idiomas OOP.

RMI permite a los programadores invocar métodos presentes en objetos remotos, como los presentes dentro de una aplicación que se ejecuta en una red compartida, directamente desde su aplicación, tal como ejecutarían un método o procedimiento local.

Invocación de método remoto (RMI)
Ejemplo de invocación de método remoto simple (RMI) (Wikipedia)

Todo esto se hace sin que el programador tenga que preocuparse por implementar la funcionalidad de red subyacente, que es donde API de RMI ven en celular.

En este contexto, varios productos de Jira enumerados a continuación exponen un servicio de red Ehcache RMI en los puertos 40001 y potencialmente 40011.

Los atacantes remotos pueden conectarse a estos puertos sin requerir ninguna autenticación y ejecutar código arbitrario de su elección en Jira a través de un objeto. deserialización.

Los productos afectados incluyen:

  1. Centro de datos de Jira
  2. Centro de datos Jira Core
  3. Centro de datos de software de Jira y
  4. Centro de datos de gestión de servicios de Jira

La vulnerabilidad fue descubierta e informada responsablemente por Harrison Neal.

Versiones afectadas e instrucciones de corrección

Específicamente, las versiones de productos de Jira afectadas por esta vulnerabilidad son:

versiones afectadas
Productos de Jira y versiones afectadas por este error

Afortunadamente, el problema no impacta instancias de Jira Server (es decir, Core & Software) que no pertenecen al centro de datos, Jira Service Management, Jira Cloud y Jira Service Management Cloud.

Los usuarios del producto Jira Data Center deben actualizar a las siguientes versiones para eliminar esta vulnerabilidad, según la rama de la versión en la que se encuentren:

  1. Usuarios de Jira Data Center, Jira Core Data Center y Jira Software Data Center: actualice a 8.5.16, 8.13.8 u 8.17.0.
  2. Usuarios del centro de datos de gestión de servicios de Jira: Actualice a 4.5.16, 4.13.8 o 4.17.0.

Para aquellos que no pueden actualizar sus instancias, Atlassian ha proporcionado soluciones alternativas en un aviso de seguridad.

Atlassian recomienda que los clientes actualicen a la última versión de los productos, y también acceso restringido a los puertos RMI de Ehcache.

Los puertos Ehcache RMI 40001 y 40011 deben protegerse mediante firewalls o tecnologías similares para que solo instancias de clúster de Jira Data Center, Jira Core Data Center y Jira Software Data Center, y Jira Service Management Data Center puede acceder a estos.

«Si bien Atlassian sugiere encarecidamente restringir el acceso a los puertos Ehcache solo a las instancias del centro de datos, las versiones fijas de Jira ahora requerirán un secreto compartido para permitir el acceso al servicio Ehcache», afirma Atlassian en un aviso de seguridad.

Gracias a Mitun Zavery para el chivatazo.

Leave a Comment

You may also like

Más