Zpět

Kritická bezpečnostní zranitelnost pro JSM Server a DC (CVE-2023-22501)

Bezpečnostní upozornění

2. 2. 2023

Společnost Atlassian vydala upozornění na bezpečnostní riziko pro produkty Jira Service Management Server and Data Center.

Shrnutí zranitelnosti

Toto upozornění odhaluje bezpečnostní zranitelnost kritické závažnosti, která se objevila ve verzi 5.3.0 Jira Service Management Server and Data Center.

Zranitelnost se týká následujících verzí:

  • 5.3.0
  • 5.3.1
  • 5.3.2
  • 5.4.0
  • 5.4.1
  • 5.5.0

V Jira Service Management Server a Data Center byla objevena chyba v ověřování, která za určitých okolností umožňuje útočníkovi vydávat se za jiného uživatele a získat přístup k instanci služby Jira Service Management. S povoleným přístupem k zápisu do adresáře uživatelů a odchozímu e-mailu v instanci správy služeb Jira může útočník získat přístup k registračním tokenům zaslaným uživatelům s účty, ke kterým se nikdy nepřihlásil.

Přístup k těmto tokenům lze získat ve dvou případech:

  • Pokud je útočník zařazen do issue nebo requestů systému Jira s těmito uživateli, nebo
  • Pokud je útočník přeposlán nebo jinak získá přístup k e-mailům obsahujícím odkaz "Zobrazit požadavek" od těchto uživatelů.

K tomuto scénáři jsou obzvláště náchylné účty botů (zakládající požadavky).

V instancích s jednotným přihlášením mohou být napadeny účty externích zákazníků v projektech, kde si může kdokoli vytvořit vlastní účet.

Weby Atlassian Cloud nejsou ovlivněny.

Pokud je váš web Jira přístupný prostřednictvím domény atlassian.net, je hostován společností Atlassian a tato chyba zabezpečení se vás netýká.

Opravené verze

Jira Service Management Server and Data Center

  • 5.3.3
  • 5.4.2
  • 5.5.1
  • 5.6.0 a novější

Řešení

Doporučený způsob je upgrade na opravenou verzi Jira Service Management.

Pokud nemůžete okamžitě upgradovat Jira Service Management, můžete ručně upgradovat soubor JAR servicedesk-variable-substitution-plugin.jar pro konkrétní verzi jako dočasné řešení.

Ke stažení ve zdroji zde:

https://confluence.atlassian.com/jira/jira-service-management-server-and-data-center-advisory-cve-2023-22501-1188786458.html

Postup pro dočasný update servicedesk-variable-substitution-plugin.jar:

  1. Stáhněte si soubor JAR pro konkrétní verzi z (ve zdroji) uvedené tabulky.
  2. Stop Jira.
  3. Copy JAR file do Jira home directory.
    1. Pro Server: /plugins/installed-plugins
    2. Pro Data Center: /plugins/installed-plugins
  4. Start Jira.

Mohlo by vás zajímat

Zobrazit vše

20. 3. 2024

Best practice

Jak evidovat nepřítomnost v Jira?

Jira ve všech svých verzích umožňuje spravovat nejen pracovní procesy, ale také zaznamenávat nepřítomnost vás i vašich kolegů.…