Atlassian, kurumsal müşterilerinin, JIRA veri merkezi ve JIRA servis yönetimi veri merkezi ürünlerinin birçok versiyonunda kritik bir güvenlik açığı düzeltmesini istiyor.
CVE-2020-36239 olarak izlenen güvenlik açığı, uzaktan saldırganlar, Jira'nın Ehcache'nin bir açık kaynaklı bileşeni olan Ehcache'nin uygulanmasında eksik bir kimlik doğrulama hatası nedeniyle uzaktan saldırganlar rehberli kod yürütme yeteneklerini verebilir.
Dün, Atlassian, JIRA veri merkezi ürünlerinde eleştirel bir güvenlik açığı açıkladı.
CVE-2020-36239 olarak izlenen güvenlik açığı, uzaktan unutulmamış saldırganların, bazı JIRA veri merkezi ürünlerinde keyfi kod yürütmelerini sağlar.
Bu hafta BleepingComputer tarafından görülen bir e-posta duyurusunda, Atlassian, kurumsal müşterilerine, bu hatayı düzeltmek için bir araç olarak örneklerini yükseltmelerini istiyor:
Güvenlik açığı, eksik bir kimlik doğrulama kontrolünden kaynaklanıyor veya başka bir deyişle Ehcache RMI bağlantı noktalarına sınırsız erişim.
Ehcache, performansı ve ölçeklendirmeyi arttırmak için Java uygulamaları tarafından kullanılan yaygın olarak kullanılan bir açık kaynaklı önbellektir.
RMI, OOP dillerinde uzaktan prosedür çağrılarına (RPC) benzeyen bir konsept, uzaktan yöntem çağrısı, Java'daki bir kavram anlamına gelir.
RMI, programcıların uzak nesnelerde mevcut olan yöntemleri, ortak bir ağda çalışan bir uygulama içinde bulunanlar, bunlar yerel bir yöntem veya prosedür çalıştırırdıkları için uygun olanlar gibi yöntemleri çağırır.
Bütün bunlar, RMI API'lerin kullanışlı olduğu yerde, temel ağ işlevselliğini uygulamak için endişelenmek zorunda kalmadan yapılır.
Bu bağlamda, aşağıda listelenen çoklu JIRA ürünleri, 40001 Portlar ve Potansiyel 40011 numaralı bağlantı noktalarında bir EHCACHE RMI şebekesi servisi gösterilir.
Uzaktaki saldırganlar, herhangi bir kimlik doğrulaması gerektirmeden bu bağlantı noktalarına bağlanabilir ve JIRA'da seçtiklerinin keyfi kodunu nesne çözümü yoluyla gerçekleştirebilir.
Etkilenen ürünler şunlardır:
Güvenlik açığı, Harrison Neal tarafından keşfedildi ve sorumlu bir şekilde bildirildi.
Spesifik olarak, bu güvenlik açığından etkilenen JIRA ürün versiyonları şunlardır:
Neyse ki, sorun, Veri Sunucusu'nun (yani Çekirdek ve Yazılım), JIRA Servis Yönetimi, JIRA Cloud ve JIRA Servis Yönetimi Bulutu'nun veri merkezlerini etkilememektedir.
JIRA Veri Merkezi Ürün kullanıcıları, hangi sürüm dalına bağlı olarak, bu güvenlik açığından mahzaş etmek için aşağıdaki sürümlere yükseltmelidir:
Durumlarını yükseltemeyenler için, Atlassian, geçici çözümler bir güvenlik danışmanlığında sağladı.
Atlassian, müşterilerin ürünlerin en son sürümüne yükseltmelerini ve ayrıca Ehcache RMI bağlantı noktalarına erişimi kısıtlamalarını önerir.
Ehcache RMI bağlantı noktaları 40001 ve 40011, güvenlik duvarları veya benzeri teknolojiler kullanılarak korumalı olmalıdır, böylece JIRA veri merkezinin, JIRA CORE VERİSİ CENTERİ ve JIRA Software Veri Merkezi'nin küme örnekleri ve JIRA servis yönetimi veri merkezi bunlara erişebilir.
"Atlassian, Yalnızca Veri Merkezi Örnekleri için Ehcache Bağlantı Noktaları'na erişimin kısıtlanmasını şiddetle önerirken, JIRA'nın sabit sürümleri artık EHCACE hizmetine erişime izin vermek için paylaşılan bir sır gerekir" dedi.
Tavsiye için Mitun Zavery sayesinde.
Kaseya Yamaları VSA Ransomware Saldırısında Kullanılan VSA Güvenlik Açıkları
Gönye Güncellemeleri En Tehlikeli En Tehlikeli Yazılım Hatası Listesi
Microsoft Paylaşımları Windows 10 Ciddi Sunucusu Güvenlik Açığı için geçici çözüm
Yeni Windows 10 Güvenlik Açığı, kimsenin yönetici ayrıcalıklarını almasını sağlar
Yazıcı yazılımında 16 yaşındaki böcek, bilgisayar korsanları yönetici haklarını verir
Kaynak: Bleeping Computer