关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

Jira Data Center等多个产品远程代码执行漏洞风险通告(CVE-2020-36239)

发布时间:2021-07-22 19:39:39

尊敬的用户,您好!


近日,互联网安全运营中心监测到,Atlassian官方发布安全公告,公告提示其Jira Data Center、Jira Service Management Data Center 等产品存在严重漏洞。漏洞编号:CVE-2020-36239。漏洞可导致远程代码执行等危害。


为避免您的业务受影响,棉花云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


漏洞详情

公告称,Jira Data Center、Jira Service Management Data Center等产品在40001等默认端口,开放了Ehcache RMI 网络服务,由于缺少身份验证,攻击者可以未授权访问该服务,进而通过反序列化等方法在 Jira 中执行任意代码。


风险等级


漏洞风险

攻击者可利用可导致执行恶意代码等风险


影响版本

Jira Data Center, Jira Core Data Center, Jira Software Data Center:

6.3.0 <= version < 8.5.16

8.6.0 <= version < 8.13.8

8.14.0 <= version < 8.17.0


Jira Service Management Data Center:

2.0.2 <= version < 4.5.16

4.6.0 <= version < 4.13.8

4.14.0 <= version < 4.17.0


Jira Data Center, Jira Core Data Center, Jira Software Data Center:

所有 6.3.x, 6.4.x 版本

所有 7.0.x, 7.1.x , 7.2.x, 7.3.x, 7.4.x, 7.5.x, 7.6.x, 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x, 7.13.x 版本

所有 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x 版本

所有 8.5.x 系列 8.5.16 之前的版本

所有 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.10.x, 8.11.x, 8.12.x 版本

所有 8.13.x 系列 8.13.8 之前的版本

所有 8.14.x, 8.15.x, 8.16.x 版本


Jira Service Management Data Center:

所有 2.x.x 系列 2.0.2 之后的版本

所有 3.x.x 版本

所有 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x 版本

所有 4.5.x 系列 4.5.16 之前的版本

所有 4.6.x, 4.7.x, 4.8.x, 4.9.x, 4.10.x, 4.11.x, 4.12.x 版本

所有 4.13.x 系列 4.13.8 之前的版本

所有 4.14.x, 4.15.x, 4.16.x 版本


安全版本

Jira Data Center, Jira Core Data Center, Jira Software Data Center:

Version 8.5.16 for 8.5.x LTS

Version 8.13.8 for 8.13.x LTS

Version 8.17.0




Jira Service Management Data Center:

Version 4.5.16 for 4.5.x LTS

Version 4.13.8 for 4.13.x LTS

Version 4.17.0




修复建议

官方已发布安全更新,请及时更新至官方最新版本。


【备注】:建议您在升级前做好数据备份工作,避免出现意外


漏洞参考


https://confluence.atlassian.com/adminjiraserver/jira-data-center-and-jira-service-management-data-center-security-advisory-2021-07-21-1063571388.html


棉花云运营部



/template/Home/Zkeys/PC/Static