近日,Atlassian官方发布安全公告,公告提示其Jira Data Center、Jira Service Management Data Center 等产品存在严重漏洞。漏洞编号:CVE-2020-36239。漏洞可导致远程代码执行等危害。
为避免您的业务受影响,建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
公告称,Jira Data Center、Jira Service Management Data Center等产品在40001等默认端口,开放了Ehcache RMI 网络服务,由于缺少身份验证,攻击者可以未授权访问该服务,进而通过反序列化等方法在 Jira 中执行任意代码。
风险等级
高
漏洞风险
攻击者可利用可导致执行恶意代码等风险
影响版本
Jira Data Center, Jira Core Data Center, Jira Software Data Center:
6.3.0 <= version < 8.5.16
8.6.0 <= version < 8.13.8
8.14.0 <= version < 8.17.0
Jira Service Management Data Center:
2.0.2 <= version < 4.5.16
4.6.0 <= version < 4.13.8
4.14.0 <= version < 4.17.0
Jira Data Center, Jira Core Data Center, Jira Software Data Center:
所有 6.3.x, 6.4.x 版本
所有 7.0.x, 7.1.x , 7.2.x, 7.3.x, 7.4.x, 7.5.x, 7.6.x, 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x, 7.13.x 版本
所有 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x 版本
所有 8.5.x 系列 8.5.16 之前的版本
所有 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.10.x, 8.11.x, 8.12.x 版本
所有 8.13.x 系列 8.13.8 之前的版本
所有 8.14.x, 8.15.x, 8.16.x 版本
Jira Service Management Data Center:
所有 2.x.x 系列 2.0.2 之后的版本
所有 3.x.x 版本
所有 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x 版本
所有 4.5.x 系列 4.5.16 之前的版本
所有 4.6.x, 4.7.x, 4.8.x, 4.9.x, 4.10.x, 4.11.x, 4.12.x 版本
所有 4.13.x 系列 4.13.8 之前的版本
所有 4.14.x, 4.15.x, 4.16.x 版本
安全版本
Jira Data Center, Jira Core Data Center, Jira Software Data Center:
Version 8.5.16 for 8.5.x LTS
Version 8.13.8 for 8.13.x LTS
Version 8.17.0
Jira Service Management Data Center:
Version 4.5.16 for 4.5.x LTS
Version 4.13.8 for 4.13.x LTS
Version 4.17.0
修复建议
官方已发布安全更新,请及时更新至官方最新版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html