Atlassian demande à ses clients de corriger une vulnérabilité critique de Jira

0

Atlassian invite ses entreprises clientes à corriger une vulnérabilité critique dans de nombreuses versions de ses produits Jira Data Center et Jira Service Management Data Center.

La vulnérabilité identifiée comme CVE-2020-36239 peut donner aux attaquants distants des capacités d’exécution de code arbitraire, en raison d’une faille d’authentification manquante dans l’implémentation d’Ehcache, un composant open source.

Exécution critique de code à distance en raison d’une authentification manquante

Atlassian a révélé une vulnérabilité critique dans ses produits Jira Data Center.

La vulnérabilité identifiée comme CVE-2020-36239 permet à des attaquants distants non authentifiés d’exécuter du code arbitraire dans certains produits Jira Data Center.

Dans une annonce par e-mail la semaine dernière, Atlassian demande à ses entreprises clientes de mettre à niveau leurs instances dès que possible afin de corriger ce bogue:

atlassian jira
Atlassian demande à ses clients de corriger une vulnérabilité critique

La vulnérabilité provient d’un contrôle d’authentification manquant ou en d’autres termes d’un accès illimité aux ports Ehcache RMI.

Ehcache est un cache open source largement utilisé par les applications Java pour améliorer les performances et l’évolutivité.

RMI fait référence à l’invocation de méthode à distance, un concept en Java similaire aux appels de procédure à distance (RPC) dans les langages POO.

RMI permet aux programmeurs d’invoquer des méthodes présentes dans des objets distants, tels que ceux présents dans une application s’exécutant sur un réseau partagé, directement depuis leur application, comme s’ils exécutaient une méthode ou une procédure locale.

rmi
Exemple d’invocation de méthode simple à distance (RMI) (Wikipédia)

Tout cela se fait sans que le programmeur ait à se soucier de la mise en œuvre de la fonctionnalité de mise en réseau sous-jacente, c’est là que les API RMI sont utiles.

Dans ce contexte, plusieurs produits Jira répertoriés ci-dessous exposent un service réseau Ehcache RMI sur les ports 40001 et potentiellement 40011.

Des attaquants distants peuvent se connecter à ces ports sans nécessiter aucune authentification, et exécuter le code arbitraire de leur choix dans Jira via la désérialisation d’objets.

Les produits concernés sont:

  1. Jira Data Center
  2. Jira Core Data Center
  3. Jira Software Data Center
  4. Jira Service Management Data Center

La vulnérabilité a été découverte et signalée de manière responsable par Harrison Neal.

Versions impactées et instructions de correction

Plus précisément, les versions des produits Jira impactées par cette vulnérabilité sont:

affected versions
Produits et versions Jira affectés par ce bogue

Heureusement, le problème n’a pas d’impact sur les instances non Data Center de Jira Server (c’est-à-dire Core & Software), Jira Service Management, Jira Cloud et Jira Service Management Cloud.

Les utilisateurs du produit Jira Data Center doivent effectuer une mise à niveau vers les versions suivantes pour éliminer cette vulnérabilité, en fonction de la branche de version sur laquelle ils se trouvent:

  1. Utilisateurs de Jira Data Center, Jira Core Data Center et Jira Software Data Center: passez à la version 8.5.16, 8.13.8 ou 8.17.0.
  2. Utilisateurs du centre de données Jira Service Management : effectuez une mise à niveau vers 4.5.16, 4.13.8 ou 4.17.0.

Pour ceux qui ne peuvent pas mettre à niveau leurs instances, Atlassian a fourni des solutions de contournement dans un avis de sécurité.

Atlassian recommande aux clients de mettre à niveau vers la dernière version des produits et de restreindre également l’accès aux ports Ehcache RMI.

Les ports Ehcache RMI 40001 et 40011 doivent être protégés à l’aide de pare-feu ou de technologies similaires afin que seules les instances de cluster de Jira Data Center, Jira Core Data Center et Jira Software Data Center et Jira Service Management Data Center puissent y accéder.

« Alors qu’Atlassian suggère fortement de restreindre l’accès aux ports Ehcache aux seules instances du centre de données, les versions corrigées de Jira nécessiteront désormais un secret partagé afin de permettre l’accès au service Ehcache », déclare Atlassian dans un avis de sécurité.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire