+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

JetBrains опублікувала JetBrains products Security Bulletin Q1 2019

JetBrains опублікувала JetBrains products Security Bulletin Q1 2019

У бюлетені JetBrains Security Bulletin Q1 2019 коротко викладено вразливості безпеки, виявлені у продуктах JetBrains та виправлені у першому кварталі 2019 року.

Security Bulletin включає проблеми, які можуть піддати користувача продукту або інфраструктуру проекту атакам типу «людина посередині», а саме:

  • resolving Gradle, Maven, і sbt project artifacts over unencrypted connection в різних проектах; and
  • generating project templates in IDE causing above-mentioned issue in a user’s project.

Також проведено розширену перевірку механізму секретного зберігання в налаштуваннях JetBrains IDE, а також виявлено та виправлено декілька випадків секретного зберігання відкритого тексту.

Короткий звіт, який включає вразливий продукт, опис кожної проблеми, її серйозність та версію продукту, що містить виправлення.

Product Description Severity Resolved in CVE/CWE
CLion Визначення WSL configuration exposed на локальному SSH-сервері до внутрішньої мережі (CPP-15063) Moderate No fix versions CWE-276
Documentation JetBrains GitHub repositories had a world-editable wiki.(DOC-6532) Reported by Bogdan Gagea Moderate No fix versions CWE-732
Hub A user password може appear в audit events для certain server settings (JPF-7895) High 2018.4.11298 CVE-2019-12847
IntelliJ IDEA Дефективна configuration для Spring Boot apps was not secure (IDEA-204439) High 2018.3.4, 2019.1 CVE-2019-9186
IntelliJ IDEA Застосування сервера додатків дозволяє cleartext storage of secrets(IDEA-201519, IDEA-202483, IDEA-203271) High 2018.1.8, 2018.2.8, 2018.3.5, 2019.1 CVE-2019-9872
IntelliJ IDEA Здійснення територіального одержання в KeePass database не було захисту (IDEA-200066) Low 2018.3, 2019.1 CWE-922
IntelliJ IDEA A certain application server configuration дозволяє cleartext storage of secrets (IDEA-199911) Low 2018.3 CWE-317
IntelliJ IDEA A certain application server configuration дозволяє cleartext storage of secrets (IDEA-203613) Moderate 2018.1.8, 2018.2.8, 2018.3.5 CWE-2019-9823
IntelliJ IDEA A certain remote server configurations дозволяє cleartext storage of secrets (IDEA-203272, IDEA-203260, IDEA-206556, IDEA-206557) High 2019.1 CVE-2019-9873
IntelliJ IDEA Застосування параметрів certain application servers дозволяється remote code execution while running the server with the default settings (IDEA-204570) High 2018.3.7, 2018.1.8, 2018.2.8, 2018.3.4 CVE-2019-10103, CVE-2019-10104
JetBrains Account An open redirect vulnerability via the backUrl parameter був detected (JPF-8899) Moderate No fix version CWE-601
JetBrains Account An open redirect vulnerability via backUrl parameter was detected (JPF-8899) Moderate No fix version CWE-444
Kotlin The JetBrains Kotlin project був resolving artifacts за допомогою http connection при будівництві, потенційно дозволяючи MITM attack. Moderate 1.3.30 CVE-2019-10101
Kotlin Plugin IntelliJ IDEA проекти, створені за допомогою Kotlin IDE template, були відповідні матеріали, використовуючи http connection, потенційно дозволяючи MITM attack. Moderate 1.3.30 CVE-2019-10102
Plugin Marketplace Якщо HTTP Security Headers were missing (MP-2004) Moderate No fix version CWE-693
Plugin Marketplace A reflected XSS was detected (MP-2001) Moderate No fix version CWE-79
Plugin Marketplace A CSRF vulnerability was detected (MP-2002) Moderate No fix version CWE-352
PyCharm На certain remote server configuration дозволяє cleartext storage of secrets (PY-32885) Moderate 2018.3.2 CWE-209
TeamCity A можливий stored JavaScript injection was detected (TW-59419) Moderate 2018.2.3 CVE-2019-12844
TeamCity Створені Kotlin DSL settings дозволяють скористатися необробленим з'єднанням для резолюції artifacts (TW-59379) Moderate 2018.2.3 CVE-2019-12845
TeamCity A можливий stored JavaScript injection requiring a deliberate server administrator action was detected (TW-55640) Moderate 2018.2.3 CVE-2019-12843
TeamCity Неправильне списання користувача за допомогою електронної пошти в ZIP extraction (TW-57143) Moderate 2018.2.2 CVE-2019-12841
TeamCity A reflected XSS on user page was detected (TW-58661) Moderate 2018.2.2 CVE-2019-12842
TeamCity A user without the required permission could gain access to some settings (TW-58571) Moderate 2018.2.2 CVE-2019-12846
TeamCity An SSRF attack was possible on a YouTrack server (JT-51121) High 2018.4.49168 CVE-2019-12852
YouTrack An Insecure Direct Object Reference was possible (JT-51103) Low 2018.4.49168 CVE-2019-12866
YouTrack Certain actions може призвести до привілею escalation for issue attachments (JT-51080) Moderate 2018.4.49168 CVE-2019-12867
YouTrack A query injection was possible (JT-51105) Low 2018.4.49168 CVE-2019-12850
YouTrack Licensing An unauthorized disclosure of license details для attacker #2 was possible (JT-51117) Low No fix version CWE-284
YouTrack Licensing A reflected XSS was detected (JT-51074) Low No fix version CWE-79
YouTrack A CSRF vulnerability був поміщений в одному з правових пунктів (JT-51110) Moderate 2018.4.49852 CVE-2019-12851
YouTrack Integration Plugin The YouTrack Confluence plugin дозволить SSTI vulnerability (JT-51594) Moderate 1.8.1.3 CVE-2019-10100

Інші новини