Atlassian випустила оновлення для програмного забезпечення Jira Service Desk та Jira Service Desk Data Center
Atlassian випустила оновлення для програмного забезпечення Jira Service Desk та Jira Service Desk Data Center
Atlassian випустила оновлення для програмного забезпечення Jira Service Desk та Jira Service Desk Data Center, що виправляє небезпечні вразливості. Вони можуть бути проексплуатовані для розкриття інформації або віддаленого виконання коду.
Одна з проблем ( CVE-2019-14994 ) торкається ПЗ Jira Service Desk та Jira Service Desk Data Center і є небезпечною вразливістю типу path traversal (некоректні обмеження шляхів для каталогів, заміна колії). За словами дослідника безпеки, обмеження здатний обійти будь-який користувач з доступом до порталу як клієнт, так і співробітник. Експлуатація дозволяє зловмиснику переглядати всі запити у всіх проектах Jira, що містяться в уразливих установках, включаючи Jira Service Desk, Jira Core та Jira Software.
Пошукові запити виявили 25 тис. організацій по всьому світу у сфері охорони здоров'я, державного управління, освіти та промисловості, які використовують даний web-портал.
Уразливості зачіпають версії продуктів Jira Service Desk та Jira Service Desk Data Center 3.9.16 та молодше, з 3.10.0 по 3.16.8, з 4.0.0 по 4.1.3, з 4.2.0 по 4.2.5, с 4.3.0 до 4.3. 4, та 4.4.0. Проблема CVE-2019-14994 була виправлена у версіях 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4 та 4.4.1.
В окремому попередженні Atlassian повідомила про вразливість ( CVE-2019-15001 ) типу template injection (впровадження шаблону) у плагіні Importer. Вона може бути проексплуатована зловмисником з доступом до групи JIRA Administrators і дозволяє віддалено виконувати код на системах із вразливою версією Jira Server або Data Center.
Уразливість зачіпає версії Jira Server та Jira Data Center з 7.0.10 до 7.6.16 (виправлено у 7.6.16), з 7.7.0 до 7.13.8 (виправлено у 7.13.8), від 8.0.0 до 8.1.3 (виправлено у 8.1.3) , з 8.2.0 до 8.2.5 (виправлено у 8.2.5), з 8.3.0 до 8.3.4 (виправлено у 8.3.4), з 8.4.0 до 8.4.1 (виправлено у 8.4.1). /p>
Jira Service Desk — програмне забезпечення служби підтримки, яке дозволяє клієнтам переглядати проблеми та надсилати запити при обмеженому доступі до екземплярів Jira. Jira Service Desk Data Center — опція розгортання, що забезпечує високу доступність та продуктивність критично важливих програм Atlassian.
