A Atlassian endereçou atualizações de segurança para estes serviços, sendo que o problema mais crítico permitia a um atacante o acesso a informação sensível.
Além desta falha de acesso a informação, foi corrigida uma crítica também e que permitia injeção de templates do lado do servidor, podendo levar posteriormente a execução de código remota - CVE-2019-15001.
O Jira é um serviço de tracking de pedidos que permite às empresas receber, rastrear, gerir e resolver pedidos de vários clientes.
O primeiro problema descrito, acesso a informação sensível, era possível através de um ataque formalmente descrito por URL path traversal, e através dele o atacante conseguia aceder a informação confidencial - CVE-2019-14994.
Esta situação é particularmente relevante quando falamos de milhares de sistemas JIRA que estão expostos online e que pertencem às mais diversas áreas da sociedade.
Versões afetadas pela falha de acesso a informação
- Antes da 3.9.16,
- Da 3.10.0 até 3.16.8
- Da 4.0.0 até 4.1.3,
- Da 4.2.0 até 4.2.5,
- Da 4.3.0 até 4.3.4,
- 4.4.0.
Versões afetadas pela falha de execução de código remota
- Da 7.0.10 até 7.6.16 (corrigida na 7.6.16) - Da 7.7.0 até 7.13.8 (corrigida na 7.13.8) - Da 8.0.0 à 8.1.3 (corrigida na 8.1.3)
- Da 8.2.0 à 8.2.5 (corrigida na 8.2.5)
- Da 8.3.0 à 8.3.4 (corrigida na 8.3.4)
- Da 8.4.0 à 8.4.1 (corrigida na 8.4.1)
Solução
Para já, apenas existe um workaround, que é o bloqueio de pedidos aos sistemas JIRA que contenham "..", ao nível do reverse proxy ou load balancer. Pode-se também configurar o JIRA para redirecionar pedidos com esses caracteres para um URL seguro.
Por sua vez, os administradores podem adicionar a seguinte regra à secção URLwrite no ficheiro "jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml"
<rule> <from>^/[^?]*\.\..*$</from> <to type="temporary-redirect">/</to> </rule>
Mais informações: https://www.bleepingcomputer.com/news/security/jira-server-and-service-desk-fix-critical-security-bugs/