选择你喜欢的标签
我们会为你匹配适合你的网址导航

    确认 跳过

    跳过将删除所有初始化信息

    新闻分类

    JIRA服务器模板注入漏洞警报

    安全 作者:kstest 2019-07-24 05:27:35 阅读:193

    最近,JIRA发布了一个安全公告,修复了服务器端模板注入漏洞(CVE-2019-11581),影响了Jira Server和Jira Data Center。 成功利用此漏洞的攻击者可以远程执行受影响服务器上的代码。 使用Jira Cloud的用户不受影响。

    Jira是由Atlassian开发的专有问题跟踪产品,允许错误跟踪和敏捷项目管理。 产品名称是Gojira的截断,Gojira是Godzilla的日语单词,是对竞争对手Bugzilla的引用。

    漏洞摘要

    该漏洞源自Jira Server和Data Center中的ContactAdministrator和SendBulkMail操作。 成功利用此漏洞至少需要满足以下条件之一:

    • SMTP服务器在JIRA中配置,并且启用了“联系人管理员表单”选项。

    • SMTP服务器在JIRA中配置,攻击者可以访问“JIRA管理员”。

    受影响的版本

    以下版本的Jira Server和Jira Data Center受到影响:

    Affected version

    • 4.4.x

    • 5.xx

    • 6.xx

    • 7.0.x

    • 7.1.x

    • 7.2.x

    • 7.3.x

    • 7.4.x

    • 7.5.x

    • 7.6.14 (7.6.x repaired version) before 7.6.x

    • 7.7.x

    • 7.8.x

    • 7.9.x

    • 7.10.x

    • 7.11.x

    • 7.12.x

    • 7.13.x before 7.13.5 (修复版本 7.13.x)

    • 8.0.3 (8.0.x 修复版本) 之前 8.0.x

    • 8.1.2 (8.1.x 修复版本) 之前 8.1.x

    • 8.2.3 (8.2.x 修复版本) 之前 8.2.x

    未受影响的版本

    以下版本的Jira Server和Jira Data Center不受影响:

    • 7.6.14

    • 7.13.5

    • 8.0.3

    • 8.1.2

    • 8.2.3

    解决方案

    Jira官方发布了一个新版本来修复上述漏洞,受影响的用户应该尽快升级Jira Server和Jira Data Center。

    • 8.2.3 可以从中下载 https://www.atlassian.com/software/jira/download

    • 8.1.2 可以从中下载 https://www.atlassian.com/software/jira/update.

    • 8.0.3 可以从中下载 https://www.atlassian.com/software/jira/update.

    • 7.13.5 可以从中下载 https://www.atlassian.com/software/jira/update.

    • 7.6.14 可以从中下载 https://www.atlassian.com/software/jira/update.


    关注公众号:拾黑(shiheibook)了解更多

    [广告]赞助链接:

    四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
    关注数据与安全,洞悉企业级服务市场:http://www.ijiandao.com/

    图库
    关注网络尖刀微信公众号
    随时掌握互联网精彩
    赞助链接