Atlassian предлагает своим корпоративным клиентам исправить критическую уязвимость в версиях продуктов Jira Data Center и Jira Service Management Data Center путем их обновления.
Уязвимость, отслеживаемая как CVE-2020-36239, делает возможным удаленное выполнение кода злоумышленниками. Это происходит из-за отсутствия проверки аутентификации или неограниченного доступа к портам Ehcache RMI в реализации Jira Ehcache, компонента с открытым исходным кодом.
Ehcache — это широко используемый кэш с открытым исходным кодом, который внедряют в приложения Java для повышения производительности и лучшей масштабируемости. RMI относится к удаленному вызову метода — концепции в Java, аналогичной удаленным вызовам процедур (RPC) в языках ООП.
Затронутые продукты включают:
Дата-центр Jira;
центр обработки данных Jira Core;
центр обработки данных Jira Software;
центр обработки данных Jira Service Management.
Проблема не затрагивает Jira Server, не относящиеся к центрам обработки данных (например, Core & Software), Jira Service Management, Jira Cloud и Jira Service Management Cloud.
Пользователи Jira Data Center, Jira Core Data Center и Jira Software Data Center должны обновиться до версий 8.5.16, 8.13.8 или 8.17.0. Пользователи Jira Service Management Data Center — до версий 4.5.16, 4.13.8 или 4.17.0.
Atlassian рекомендует клиентам обновить продукты до последней версии, а также ограничить доступ к портам Ehcache RMI.
