Zpět

Bezpečnostní záplata pro add-on Scriptrunner pro Server/DC

6. 12. 2021

Společnost Adaptavist vydala upozornění na kritickou bezpečnostní záplatu. Zranitelnost se týká doplňku (add-onu) ScriptRunner for Jira a umožňuje spustit škodlivý kód uživatelem (i anonymím), který má možnost spustit JQL dotaz. Doplněk není standardní součástí Jira instance.
Pokud jste jej instalovali, doporučujeme co nejdříve povýšit na verzi 6.40.0 z 1.12.2021 (popřípadě novější).


Ovlivněné jsou následující verze:
ScriptRunner for Jira 6.39.0 a starší pro Jira Server a Jira Data Center.
Verze pro Jira Cloud není dotčena.


Dopady
Uživatelé (dokonce i nepřihlášení/anonymní uživatelé) mohou způsobit chybu denial of service při použití JQL v Jira. Více o této chybě lze
dohledat zde (anglicky).


Mitigace
Instalace nebo upgrade ScriptRunner for Jira na verzi 6.40.0 nebo novější.
Pokud nemůžete instalovat novější verzi, je doporučeno vypnout moduly expression and aggregateExpressions pro tento add-on.


Chcete poradit, pomoci s upgradem nebo propojit a nastavit Slack a Jira? Neváhejte se na nás obrátit a kontaktujte nás na atlassian@onlio.com