聲明：該文章由作者（kstest）發(fā)表，轉載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

最近,JIRA發(fā)布了一個安全公告,修復了服務器端模板注入漏洞(CVE-2019-11581),影響了Jira Server和Jira Data Center。 成功利用此漏洞的攻擊者可以遠程執(zhí)行受影響服務器上的代碼。 使用Jira Cloud的用戶不受影響。

Jira是由Atlassian開發(fā)的專有問題跟蹤產(chǎn)品,允許錯誤跟蹤和敏捷項目管理。 產(chǎn)品名稱是Gojira的截斷,Gojira是Godzilla的日語單詞,是對競爭對手Bugzilla的引用。

漏洞摘要

該漏洞源自Jira Server和Data Center中的ContactAdministrator和SendBulkMail操作。 成功利用此漏洞至少需要滿足以下條件之一:

• SMTP服務器在JIRA中配置,并且啟用了“聯(lián)系人管理員表單”選項。

• SMTP服務器在JIRA中配置,攻擊者可以訪問“JIRA管理員”。

受影響的版本

以下版本的Jira Server和Jira Data Center受到影響:

Affected version

• 4.4.x

• 5.xx

• 6.xx

• 7.0.x

• 7.1.x

• 7.2.x

• 7.3.x

• 7.4.x

• 7.5.x

• 7.6.14 (7.6.x repaired version) before 7.6.x

• 7.7.x

• 7.8.x

• 7.9.x

• 7.10.x

• 7.11.x

• 7.12.x

• 7.13.x before 7.13.5 (修復版本 7.13.x)

• 8.0.3 (8.0.x 修復版本)?之前 8.0.x

• 8.1.2 (8.1.x 修復版本) 之前 8.1.x

• 8.2.3 (8.2.x 修復版本)?之前?8.2.x

未受影響的版本

以下版本的Jira Server和Jira Data Center不受影響:

• 7.6.14

• 7.13.5

• 8.0.3

• 8.1.2

• 8.2.3

解決方案

Jira官方發(fā)布了一個新版本來修復上述漏洞,受影響的用戶應該盡快升級Jira Server和Jira Data Center。

• 8.2.3?可以從中下載?https://www.atlassian.com/software/jira/download

• 8.1.2?可以從中下載?https://www.atlassian.com/software/jira/update.

• 8.0.3?可以從中下載?https://www.atlassian.com/software/jira/update.

• 7.13.5?可以從中下載?https://www.atlassian.com/software/jira/update.

• 7.6.14?可以從中下載?https://www.atlassian.com/software/jira/update.

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/