首頁 > 安全研究 > 安全通報 > 安全通告

Jira Desk Server 和 Data Center漏洞安全通告

發布時間 2019-11-11

漏洞編號和級別


CVE編號:CVE-2019-15003,危險級別:高危,CVSS分值:官方未評定

CVE編號:CVE-2019-15004,危險級別:高危,CVSS分值:官方未評定


影響版本


Jira Service Desk Server andJira Service Desk Data Center

version < 3.9.17

3.10.0 <= version < 3.16.11

4.0.0 <= version < 4.2.6

4.3.0 <= version < 4.3.5

4.4.0 <= version < 4.4.3

4.5.0 <= version < 4.5.1


漏洞概述


Atlassian Jira Service Desk Server和Atlassian Jira Service Desk Data Center都是澳大利亞Atlassian公司的產品。Atlassian Jira Service Desk Server是一套IT服務臺與請求跟蹤系統的服務器版。該系統主要用于接收、跟蹤和管理團隊客戶的請求。Atlassian Jira Service Desk Data Center是Atlassian Jira Service Desk的數據中心版本。存在如下漏洞:


信息泄露漏洞CVE-2019-15003和路徑遍歷漏洞CVE-2019-15004,利用漏洞,攻擊者可以查看易受攻擊的實例中包含的所有Jira項目中的所有問題。這可能包括Jira Service Desk項目,Jira Core項目和Jira Software項目。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布更新,如下:


4.5.1 can be downloaded from https://www.atlassian.com/software/jira/service-desk/update

4.4.3 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update

4.3.5 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update

4.2.6 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update

3.16.11 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update

3.9.17 which can be downloaded from https://www.atlassian.com/software/jira/service-desk/update


緩解措施:


CVE-2019-15003


1. 在反向代理或負載平衡級別阻止對包含jspa,jpsx,jsp的Jira的請求,或者將Jira配置為將包含jspa,jspx,jsp的請求重定向到安全URL


2. 將以下內容添加到[jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml的<urlrewrite>部分中,保存以上更改后,重新啟動Jira:




CVE-2019-15004


1. 在反向代理或負載平衡級別阻止對包含..的Jira的請求,或者將Jira配置為將包含..的請求重定向到安全URL


2. 將以下內容添加到[jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml的<urlrewrite>部分中,保存以上更改后,重新啟動Jira:




參考鏈接


https://confluence.atlassian.com/jira/jira-service-desk-security-advisory-2019-11-06-979412717.html


上一篇 下一篇