Jira Server - 各种资源中的模板注入 - CVE-2019-11581
| 摘要 | CVE-2019-11581 - 各种资源中的模板注入 |
|---|---|
| 发布日期 | |
| 产品 | Jira Server和Jira数据中心 注意:这包括Jira Software,Jira Core和Jira Service Desk。Jira Cloud客户不受影响。 列出的版本适用于Jira Core和Jira Software。检查JIRA兼容版本对照表以查找Jira Service Desk版本的等效版本。 |
受影响的Jira Server和Jir Data Center版本 |
|
修复了Jira Server和Jira Data Center 版本 |
|
| CVE ID | CVE-2019-11581 |
漏洞摘要
此通报披露了 Jira Server和Jira Data Center 4.4.0版中引入的严重严重性安全漏洞。 以下版本的Jira Server和Jira Data Center 受此漏洞的影响:
- 4.4.x到
- 5.XX
- 6.XX
- 的7.0.x
- 7.1.x
- 7.2.x
- 7.3.x
- 7.4.x
- 7.5.x
- 7.6.14之前的7.6.x(7.6.x的固定版本)
- 7.7.x
- 7.8.x
- 7.9.x
- 7.10.x
- 7.11.x
- 7.12.x
- 在7.13.5之前的7.13.x(7.13.x的固定版本)
- 8.0.3之前的8.0.x(8.0.x的固定版本)
- 8.1.1之前的8.1.x(8.1.x的固定版本),和
- 8.2.x之前的8.2.x(8.2.x的固定版本)。
将Jira Server和Jira数据中心升级到7.6.14,7.13.5,8.0.3,8.1.2或8.2.3版本的客户不受影响。
使用Jira Cloud的客户不受影响。
已下载并安装Jira Server和Jira Data Center版本的客户:
- 4.4.x到
- 5.XX
- 6.XX
- 的7.0.x
- 7.1.x
- 7.2.x
- 7.3.x
- 7.4.x
- 7.5.x
- 7.6.14之前的7.6.x(7.6.x的固定版本)
- 7.7.x
- 7.8.x
- 7.9.x
- 7.10.x
- 7.11.x
- 7.12.x
- 在7.13.5之前的7.13.x(7.13.x的固定版本)
- 8.0.3之前的8.0.x(8.0.x的固定版本)
- 8.1.1之前的8.1.x(8.1.x的固定版本),和
- 8.2.3之前的8.2.x(8.2.x的固定版本)
请升级您的JIRA Server和JIRA的Data Cneter安装并立即修复此漏洞。
如果您已从4.2.3之前的3.0.0版下载并安装了Jira Service Desk,则可能会受到影响。
上面列出的版本适用于Jira Software和Jira Core。检查JIRA兼容版本对照表以查找Jira Service Desk版本的等效版本。
模板注入各种资源 - CVE-2019-11581
严重
Atlassian标记此漏洞的严重等级为关键,根据公布的规模 我们Atlassian的严重级别。该表允许我们将严重程度排列为临界,高,中或低。
这是我们的评估,您应该评估其对您自己的IT环境的适用性。
描述
Jira Server和Data Center,ContactAdministrators和SendBulkMail操作中存在服务器端模板注入漏洞。要使此问题可以被利用,必须至少满足以下条件之一:
- 已在Jira中配置SMTP服务器并启用了联系人管理员表单; 要么
- 已在Jira中配置SMTP服务器,并且攻击者具有“JIRA管理员”访问权限。
在第一种情况下,启用了“联系人管理员表单”,攻击者无需身份验证即可利用此问题。在第二种情况下,具有“JIRA管理员”访问权限的攻击者可以利用此问题。在任何一种情况下,成功利用此问题都允许攻击者在运行易受攻击版本的Jira Server或数据中心的系统上远程执行代码。
修复版本
我们发布了以下版本的Jira Server和Jira数据中心来解决此问题:
- 8.2.3 可从 https://www.atlassian.com/software/jira/download 下载
- 8.1.2可从https://www.atlassian.com/software/jira/update下载。
- 8.0.3可从https://www.atlassian.com/software/jira/update下载。
- 7.13.5可从https://www.atlassian.com/software/jira/update下载。
- 7.6.14可从https://www.atlassian.com/software/jira/update下载。
你需要做什么
减轻
如果您无法立即升级Jira,那么作为临时解决方法,您可以:
- 禁用联系人管理员表单 ; 和
- 阻止
/secure/admin/SendBulkMail!default.jspa访问端点。这可以通过直接拒绝反向代理,负载均衡器或Tomcat中的访问来实现(请参阅说明)。
请注意,阻止SendBulkMail端点将阻止Jira管理员向用户发送批量电子邮件。
升级Jira后,您可以重新启用管理员联系表单,并取消阻止SendBulkMail端点。
升级Jira
Atlassian建议您升级到最新版本。有关最新版本的Jira Server和Jira数据中心的完整说明,请参阅发行说明。您可以从下载中心下载最新版本的Jira Server和Jira Data Center。
将Jira Server和Jira数据中心升级到8.2.3或更高版本。
如果无法升级到最新版本(8.2.3):
(1)如果您有当前功能版本(2018年12月10日或之后发布的功能版本),请升级到当前功能版本的下一个修正版本。
如果您有功能版本...... | ...然后升级到这个bugfix版本: |
|---|---|
| 8.0.x | 8.0.3 |
| 8.1.x | 8.1.2 |
(2)如果您有当前的企业版本(2017年7月10日或之后发布的企业版本),请升级到最新的企业版本(7.13.5)。
请注意,7.6 Enterprise版本将于2019年11月达到使用寿命。如果您无法升级到最新的Enterprise版本(7.13.5),请升级到7.6.14。
如果你有企业版发布版...... | ...然后升级到此版本: |
|---|---|
7.6.x | 7.13.5(推荐) 7.6.14 |
7.13.x | 7.13.5 |
(3)如果您有旧版本(2018年12月10日之前发布的功能版本,或2017年7月10日之前发布的企业版本),请升级到最新版本,或升级到最新的企业版本(7.13.5)。
如果你有旧版本...... | ...然后升级到以下任何一个版本: |
|---|---|
4.4.x到 5.XX 6.XX 的7.0.x 7.1.x 7.2.x 7.3.x 7.4.x 7.5.x 7.7.x 7.8.x 7.9.x 7.10.x 7.11.x 7.12.x | 当前版本 8.0.3 8.1.2 8.2.3 企业版 7.6.14 7.13.5(推荐) |
支持
如果您没有收到此通报的电子邮件,并且您希望将来收到此类电子邮件,请访问 https://my.atlassian.com/email 并订阅警报电子邮件。
如果您对此通报有任何问题或疑虑,请通过https://support.atlassian.com/提出支持请求 。
有关确定您的实例是否已被入侵的指导,请参阅 确定您的Jira实例是否已被CVE-2019-11851攻陷。
参考
| 安全漏洞修复策略 | 根据我们的新政策,重要的安全漏洞修复程序将根据https://www.atlassian.com/trust/security/bug-fix-policy重新移植。我们将针对策略所涵盖的版本而不是二进制补丁发布新的维护版本。 二进制补丁不再发布。 |
| 安全问题的严重级别 | Atlassian安全建议包括严重性级别和CVE标识符。此严重性级别基于我们针对每个特定漏洞的自我计算的CVSS分数。CVSS是行业标准的漏洞指标。您还可以在FIRST.org上了解有关CVSS的更多信息 。 |
| 寿命终止政策 | 我们的报废政策因不同产品而异。有关详细信息,请参阅我们的EOL政策。 |
1 Comment
红旗公
处理方法