700字范文,内容丰富有趣,生活中的好帮手!
700字范文 > Atlassian 修复严重的 Jira 认证绕过漏洞

Atlassian 修复严重的 Jira 认证绕过漏洞

时间:2021-02-20 21:28:40

相关推荐

Atlassian 修复严重的 Jira 认证绕过漏洞

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Atlassian 公司发布安全通告提醒称,Jira 软件中存在一个严重漏洞,可被远程未认证攻击者用于规避认证防护措施。

该漏洞的编号是CVE--0540,CVSS 评分为9.9,位于 Jira 认证框架 Jira Seraph 中。Viettel 网络安全公司的研究员 Khoadha 发现并报告了该漏洞。

Atlassian 指出,“远程未认证攻击者可发送特殊构造的 HTTP 请求,绕过使用受影响配置的WebWork 操作中的认证和授权要求,利用该漏洞”

这些缺陷影响如下 Jira 产品:

Jira Core Server、Jira Software Server和Jira Software Data Center:所有早于8.13.18、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x的版本,早于8.20.6的8.20.x版本以及 8.21.x 版本。

Jira Service Management Server和Jira Service Management Data Center:所有早于4.13.18、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x,早于4.20.6的4.20.x 版本,以及4.21.x版本。

已修复的 Jira 和 Jira Service Management 版本是 8.13.18、8.20.6、8.22.0、4.13.18、4.20.6和 4.22.0。

Atlassian 同时表示,如果第一方和第三方应用安装在上述提到的 Jira 或 Jira Service Management 版本之一且使用易受攻击的配置,则这些应用也受影响。

强烈建议用户更新至任一已修复版本以缓解潜在的利用尝试。如无法立即打补丁则建议将受影响应用更新至已修复版本或立即禁用。

值得注意的是,Atlassian Confluence(CVE--26084,CVSS 9.8)中存在一个严重的远程代码执行漏洞,去年已被用于在受陷服务器上安装密币矿机。

代码卫士试用地址:

开源卫士试用地址:

推荐阅读

Jira Server 和 Service Desk 修复多个严重漏洞

Jira Server 和 Data Center修复严重的模板注入漏洞

开源组件 Ehcache中被曝严重漏洞,影响多款Jira产品

原文链接

//04/atlassian-drops-patches-for-critical.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个“在看” 或 "赞” 吧~

本内容不代表本网观点和政治立场,如有侵犯你的权益请联系我们处理。
网友评论
网友评论仅供其表达个人看法,并不表明网站立场。