JetBrains Security Bulletin Q2 2019 - JetBrains опублікувала виявлені та виправлені вразливості безпеки у продуктах JetBrains
JetBrains Security Bulletin Q2 2019 - JetBrains опублікувала виявлені та виправлені вразливості безпеки у продуктах JetBrains
У цьому бюлетені коротко викладено вразливості безпеки, виявлені у продуктах JetBrains та виправлені у другому кварталі 2019 року.
Короткий звіт, який включає вразливий продукт, опис кожної проблеми, її серйозність та версію продукту, що містить виправлення.
| Product | Description | Severity | Resolved in | CVE/CWE |
| Exception Analyzer | Insecure transfer of JetBrains Account credentials. (EXA-652) | Critical | No applicable | CWE-598 |
| Hub | Немає, щоб вибрати password до expire автоматично. (JPS-8816) | Low | 2018.4.11436 | CVE-2019-14955 |
| IntelliJ IDEA | Resolving artifacts за допомогою http connection, потенційно дозволяючи MITM attack. (IDEA-211231) | High | 2019.2 | CVE-2019-14954 |
| JetBrains Account | Authorized accunt enumeration. (JPF-9370) | Low | 2019.5 | CWE-204 |
| JetBrains Account | Cross-origin resource sharing misconfiguration (Reported by Vishnu Vardhan). (JPF-9095) | Low | 2019.5 | CWE-942 |
| JetBrains Account | Не обмеження обмеження на акаунті details page. (JPF-9704) | Moderate | 2019.8 | CWE-770 |
| JetBrains Account | Не обмеження обмеження на сторінці licenses. (JPF-9713) | High | 2019.9 | CWE-770 |
| JetBrains Account | Неможливий розголос license email на licenses page. (JPF-9692) | Critical | 2019.8 | CWE-284 |
| JetBrains Website | Reflected XSS. (JS-9853) | Moderate | Not Applicable | CWE-79 |
| Kotlin Ktor | Command injection через LDAP username. | Moderate | 1.2.0-rc, 1.2.0 | CVE-2019-12736 |
| Kotlin Ktor | Predictable Salt for user credentials. | Moderate | 1.2.0-rc2, 1.2.0 | CVE-2019-12737 |
| PyCharm | Remote call causing 'out of memory' error was possible. (PY-35251) | Low | 2019.2 | CVE-2019-14958 |
| Rider | Unsigned DLL був використаний в distributive. (RIDER-27708) | Moderate | 2019.1.2 | CVE-2019-14960 |
| ReSharper | DLL hijacking vulnerability. (RSRP-473674) | High | 2019.2 | CVE-2019-16407 |
| TeamCity | Перевірно використані unencrypted passwords були виявлені на web browser's auto-completion. (TW-59759) | Low | 2019.1 | CWE-200 |
| TeamCity | VMWare plugin did not check SSL certificate. (TW-59562) | Moderate | 2019.1 | CVE-2019-15042 |
| TeamCity | Remote Code Execution on the server with certain network configurations. (TW-60430) | Moderate | 2019.1 | CVE-2019-15039 |
| TeamCity | Project administrator може отримати неповноцінний доступ до сервера-рівня data. (TW-60220) | High | 2019.1 | CVE-2019-15035 |
| TeamCity | Project administrator може execute any command on the server machine. (TW-60219) | High | 2019.1 | CVE-2019-15036 |
| TeamCity | Security має бути tightened тільки для використання додаткових HTTP headers. (TW-59034) | High | 2019.1 | CVE-2019-15038 |
| TeamCity | можливі XSS vulnerabilities на pages settings. (TW-59870, TW-59852, TW-59817, TW-59838, TW-59816) | High | 2019.1 | CVE-2019-15037 |
| TeamCity | XSS vulnerability. (TW-61242, TW-61315) | High | 2019.1.2 | CVE-2019-15848 |
| Toolbox App | Unencrypted connection до external resources, потенційно дозволений MITM attack. (TBX-3327, ADM-30275) | Low | 1.15.5605 | CVE-2019-14959, CWE-311 |
| Upsource | Insufficient escaping of code blocks. (UP-10387) | Moderate | 2019.1.1412 | CVE-2019-14961 |
| Upsource | Credentials exposure via RPC command. (UP-10344) | Critical | 2018.2.1290 | CVE-2019-12156 |
| Upsource | Credentials exposure via RPC command. (UP-10343) | Critical | 2018.2.1293 | CVE-2019-12157 |
| Vim Plugin | Project data appeared in user level settings. (VIM-1184) | Moderate | 0.52 | CVE-2019-14957 |
| YouTrack | A user could get a list of project names under certain conditions. (JT-53162) | Low | 2019.2.53938 | CVE-2019-14956 |
| YouTrack | Stored XSS на цій статті. (JT-51077, JT-54121) | High | 2019.2.53938, 2019.2.57829 | CVE-2019-14953, CVE-2019-16171 |
| YouTrack | Stored XSS в список повідомлень. (JT-52894) | High | 2019.1.52584 | CVE-2019-14952 |
| YouTrack | A compromised URL була автоматично whitelisted by YouTrack. (JT-47653) | Low | 2019.1.52545 | CVE-2019-15041 |
| YouTrack | Cross-Site Request Forgery. (JT-30098) | Low | 2019.1 | CVE-2019-15040 |
