漏洞-CVE-2020-36239
只影响JIRA DataCenter版本
主题 | CVE-2020-36239 - 缺少Ehcache RMI的身份验证 |
---|---|
安全信息发布时间 |
|
涉及产品 |
JIRA的server版本不受影响 JIRA的Cloud版本不受影响 |
影响Confluence版本 | Jira Data Center, Jira Core Data Center, and Jira Software Data Center
Jira Service Management Data Center
Jira Data Center, Jira Core Data Center, and Jira Software Data Center
Jira Service Management Data Center
|
修复版本 | Jira Data Center, Jira Core Data Center, and Jira Software Data Center
Jira Service Management Data Center
|
解决方案
我们建议升级版本
升级到Jira Data Center, Jira Core Data Center, Jira Software Data Center指定版本
8.5.16
8.13.8
8.17.0
- 更高版本
Jira Service Management Data Center to versions升级到指定版本
4.5.16
4.13.8
4.17.0
- 更高版本
或者
通过使用防火墙或类似技术,将对Jira Data Center, Jira Core Data Center, and Jira Software Data Center和JJira Service Management Data Center的Ehcache RMI端口的访问限制为仅对集群实例的访问。
即,端口只开放给Data Center的结点服务器
安全漏洞描述
Jira Data Center, Jira Core Data Center, and Jira Software Data Center和JJira Service Management Data Center暴露了一个Ehcache RMI网络服务,攻击者可以连接到该服务的端口40001和40011[0][1][2]上,由于缺少身份验证漏洞,可以通过反序列化在Jira中执行他们选择的任意代码。Atlassian强烈建议仅将对Ehcache端口的访问限制为数据中心实例,而Jira的固定版本现在将需要共享机密,以便允许访问Ehcache服务。
[0]Jira Data Center, Jira Core Data Center, and Jira Software Data Center7.13.1之前的版本中,可以随机分配Ehcache对象端口。
[1] 在3.16.1之前的JJira Service Management Data Center中,Ehcache对象端口可以随机分配。
[2] 默认的Ehcache端口是40001,但可以将其配置为位于不同的端口上