1、 漏洞简述
2021年07月23日,Atlassian官方发布了Jira远程代码执行的风险通告,漏洞编号为CVE-2020-36239,漏洞等级:严重,漏洞评分:9.8。
Jira Software是一款强大的工作管理工具,从需求和测试用例管理到敏捷软件开发,它适用于各种类型的用例。该漏洞是由于Jira的开源组件Ehcache的RMI缺少认证,攻击者能够构造特定请求造成远程代码执行。
对此,建议广大用户及时将Jira升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2、 风险等级
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 攻击者价值 | 高 |
| 利用难度 | 低 |
| 评分 | 9.8 |
3、 漏洞详情
CVE-2020-36239: Jira 代码执行漏洞
CVE: CVE-2020-36239
组件: Jira Data Center, Jira Core Data Center, Jira Software Data Center,Jira Service Management Data Center
漏洞类型: 代码执行
影响: 服务器接管
简述: 该漏洞影响Jira Data Center和Jira Service Management Data Center,其中Jira Data Center包括Jira Software Data Center和Jira Core Data Center。以上产品的开源组件Ehcache的RMI服务缺少认证,并且默认情况下暴露在40001端口,远程攻击者可以在不需要任何身份验证的情况下连接到这些端口,并在JIRA中通过反序列化任意对象造成代码执行。
4、 影响版本
| 组件 | 影响版本 | 安全版本 |
|---|---|---|
| Jira Data Center, Jira Core Data Center, Jira Software Data Center | >= 6.3.0 / < 8.5.16 | 8.5.16 |
| Jira Data Center, Jira Core Data Center, Jira Software Data Center | >= 8.6.0 / < 8.13.8 | 8.13.8 |
| Jira Data Center, Jira Core Data Center, Jira Software Data Center | >=8.14.0 / < 8.17.0 | 8.17.0 |
| Jira Service Management Data Center | >= 2.0.2 / < 4.5.16 | 4.5.16 |
| Jira Service Management Data Center | >= 4.6.0 / < 4.13.8 | 4.13.8 |
| Jira Service Management Data Center | >= 4.14.0 / < 4.17.0 | 4.17.0 |
5、 修复建议
通用修补建议
根据影响版本中的信息,排查并升级到安全版本。 产品对应的下载地址为:
Jira Core Server:https://www.atlassian.com/software/jira/core/download
Jira Software Data Center:https://www.atlassian.com/software/jira/update
Jira Service Management Data Center:https://www.atlassian.com/software/jira/service-management/update
临时修补建议
通过防火墙等类似技术限制对Jira Data Center,Jira Core Data Center,Jira Software Data Center,Jira Service Management Data Center的Ehcache RMI端口的访问。
6、 参考链接
1、 Jira Data Center And Jira Service Management Data Center Security Advisory 2021-07-21
