Jira Data Center等多個(gè)產(chǎn)品遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警（CVE-2020-36239）

2021-07-23

一、概要

近日，華為云關(guān)注到Atlassian官方發(fā)布安全公告，披露旗下Jira Data Center、Jira Service Management Data Center等多個(gè)產(chǎn)品存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-36239）。這些產(chǎn)品在40001等默認(rèn)端口開放了Ehcache RMI 網(wǎng)絡(luò)服務(wù)，由于缺少身份驗(yàn)證，攻擊者可以通過反序列化在Jira中實(shí)現(xiàn)任意代碼執(zhí)行。

Jira是一個(gè)缺陷跟蹤管理系統(tǒng)，為針對(duì)缺陷管理、任務(wù)追蹤和項(xiàng)目管理的商業(yè)性應(yīng)用軟件。華為云提醒使用Jira的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：Jira Data Center And Jira Service Management Data Center Security Advisory 2021-07-21

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Jira Data Center, Jira Core Data Center, Jira Software Data Center- ranges

6.3.0 <= version < 8.5.16

8.6.0 <= version < 8.13.8

8.14.0 <= version < 8.17.0

Jira Service Management Data Center – ranges

2.0.2 <= version < 4.5.16

4.6.0 <= version < 4.13.8

4.14.0 <= version < 4.17.0

安全版本：

Jira Data Center, Jira Core Data Center, Jira Software Data Center

Version 8.5.16 for 8.5.x LTS

Version 8.13.8 for 8.13.x LTS

Version 8.17.0

Jira Service Management Data Center

Version 4.5.16 for 4.5.x LTS

Version 4.13.8 for 4.13.x LTS

Version 4.17.0

四、安全建議

1、目前官方已在高版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本。

2、無法及時(shí)升級(jí)的用戶可根據(jù)Atlassian官方提供的建議，通過防火墻或類似的技術(shù)限制對(duì)Ehcache RMI服務(wù)端口的訪問。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。