Insight, une application de gestion des actifs et des configurations en interaction avec Jira Service Management Data Center et Server, présentait une vulnérabilité de sécurité classée comme critique et pouvant être exploitée à distance. Dans certaines circonstances, un attaquant disposant de faibles droits d’accès aurait pu exécuter un code Java arbitraire sur le serveur (exécution de code à distance, RCE). Les développeurs de Jira ont publié des packs mis à jour de Service Management Data Center, Server et Insight, ainsi qu’une version autonome sécurisée de l’application Insight. Les utilisateurs doivent mettre à jour le logiciel dès que possible.

Sommaire

Fonction H2 exploitable via Insight for RCE

Selon l’avis de sécurité 2021-10-20 d’Atlassian sur la gestion des services Jira, CVE-2018-10054 est basé sur une combinaison de la fonction d’importation de base de données d’Insight et d’une fonction native du moteur de base de données H2, qui est fourni par défaut avec le logiciel Jira. Cette fonction pouvait être utilisée de manière abusive via Insight for RCE – que la configuration d’importation en question ait été sauvegardée ou que H2 ait déjà été utilisée comme BD cible auparavant. La condition préalable à une attaque est toutefois de se connecter en tant qu’utilisateur de Jira en combinaison avec certaines permissions (« Administrateur Insight » ou « Gestionnaire de schéma d’objet »).

Des informations supplémentaires sur la vulnérabilité sont également fournies par l’entrée NVD pour CVE-2018-10054.

Versions vulnérables et mises à jour

Un aperçu de toutes les éditions concernées de Jira Service Management Data Center et Server et de l’application Insight est fourni par l’avis de Jira. Explicitement La version cloud de Jira Service Management n’est pas concernée..

Secured sont Insight de la version 8.9.3 ainsi que Centre de données et serveur Jira Service Management 4.20.0. Ce dernier paquet de logiciels contient Insight 9.1.2. Des informations sur la procédure de mise à jour (dépendant de la version) et la compatibilité d’Insight 8.9.3 avec les différentes éditions de Jira Service Management Data Center et Server sont disponibles dans l’avis.

Gestion de projet : comparaison des puissantes alternatives à Jira

Mettez à jour maintenant : L’équipe de Jira corrige une vulnérabilité critique dans l’application Insight

Fonction H2 exploitable via Insight for RCE

Versions vulnérables et mises à jour

Gestion de projet : comparaison des puissantes alternatives à Jira

Plus d'articles

L’intelligence artificielle fait des banques les moteurs du changement

Les jumeaux numériques en tant que catalyseur de transformation des modèles d’affaires

Que signifie ChatGPT pour l’interface client des banques de demain?

Intelligence Artificielle dans le Financement de la Construction

Comment la recherche de fonds peut relier les banques et les petites et moyennes entreprises.

Comment les écosystèmes numériques révolutionnent la banque d’affaires

Les plus lues

Encodage des petits-escroqueries : les criminels essaient maintenant aussi via WhatsApp

iOS: 12 applications gratuites ou réduites pour iPhone et iPad

WhatsApp : arnaque actuelle par le message de code

Sujet du moment