Krytyczna luka w Jira Service Management (Server i Data Center) może pozwolić nieuwierzytelnionemu atakującemu na podszywanie się pod innych użytkowników i uzyskanie zdalnego dostępu. Przeczytaj jak się obronić.
Podatność występuje w wersjach JSM od 5.3.0 do 5.5.0 włącznie. Luka bezpieczeństwa umożliwia atakującemu podszywanie się pod innego użytkownika i uzyskanie dostępu do instancji w pewnych okolicznościach. Szczegóły można znaleźć na stronie opisującej podatność.
Jak się obronić?
Należy zrobić upgrade do jednej z bezpiecznych wersji:
- 5.3.3
- 5.4.2
- 5.5.1
- 5.6.0 lub późniejszej
Jeśli w tym momencie nie ma możliwości instalacji JSM w jednej z podanych wersji, należy skorzystać z tymczasowego obejścia w postaci ręcznej instalacji „łatki”. Procedura:
- pobranie odpowiedniego pliku JAR ze strony Atlassiana. Wersja łatki zależy od zainstalowanej wersji JSM
- zatrzymanie Jira
- skopiowanie pliku do katalogu domowego aplikacji
- dla wersji Server <Jira-home>/plugins/installed-plugins
- dla wersji Data Center <Jira_Shared>/plugins/installed-plugins
- włączenie Jira
Powodzenia!