Vulnerabilidad crítica en Jira Service Desk Server & Data Center

 

Contactamos con ustedes para informarles de una vulnerabilidad de seguridad tipificada por Atlassian como crítica, detectada en los productos Jira Service Desk Server y Jira Service Desk Data Center y comunicada oficialmente por Atlassian hace tan solo unas horas.

¿Qué productos se ven afectados?

  • Jira Service Desk en versiones Server y Data Center.

Pueden encontrar la comunicación oficial de Atlassian en el siguiente enlace (en inglés): Nota de vulnerabilidad 06 Noviembre 2019.

También pueden seguir el avance de la incidencia en el siguiente enlace (en inglés):  Incidencia vulnerabilidad 06 Noviembre 2019.


¿En qué consiste esta vulnerabilidad?

Un atacante se puede otorgar acceso a los portales de Jira Service Desk que tengan habilitada la opción “Anyone can email the service desk or raise a request in the portal setting”. Permitiéndole al atacante ver todas las issues dentro de los proyectos Jira contenidos en la instancia vulnerada.

Modificar estos permisos no evitan que un atacante pueda explotar la vulnerabilidad.

¿Qué versiones de estos productos se ven afectadas?

Los clientes que se encuentren bajo alguna de las siguientes versiones:

  • Cualquier versión inferior a la 3.9.17
  • 10.0 <= versión < 3.16.11. Por ejemplo 3.10.1, 3.11.0, 3.12.0, etc.
  • 0.0 <= versión < 4.2.6. Por ejemplo 4.0.1, 4.1.0, etc.
  • 3.0 <= versión < 4.3.5. Por ejemplo 4.3.1, 4.3.2, etc.
  • 4.0 <= versión < 4.4.3. Por ejemplo 4.4.0, 4.4.1, etc.
  • 5.0 <= versión < 4.5.1. Por ejemplo 4.5.0.

Algunas versiones específicas contienen un fix que bloquea esta vulnerabilidad. Si usted tiene alguna de las siguientes versiones, su instalación NO se verá afectada:

  • Versión 3.9.17
  • Versión 3.16.11
  • Versión 4.2.6
  • Versión 4.3.5
  • Versión 4.4.3
  • Versión 4.5.1
¿Cómo resolver esta vulnerabilidad?

En caso de estar afectado por esta vulnerabilidad, Atlassian expone tres vías para mitigarla:

  1. La respuesta recomendada por Atlassian para mitigar de forma permanente esta vulnerabilidad es actualizar (Centro de descarga oficial) el producto JIRA Service Desk a la versión más reciente, esto es la 5.1.
  2. Una segunda alternativa de actualización es aplicar el fix específico que corrige la vulnerabilidad para cada versión de la aplicación.

Esta opción está disponible sólo si usted tiene alguna de las siguientes versiones:

  • Para versiones 3.16.x usted debe aplicar el parche 3.16.11
  • Para versiones 4.2.x usted debe aplicar el parche 4.2.6
  • Para versiones 4.3.x usted debe aplicar el parche 4.3.5
  • Para versiones 4.4.x usted debe aplicar el parche 4.4.3
  • Para versiones 4.5.x usted debe aplicar el parche 4.5.1
  1. Como tercera alternativa, Altassian propone un workaround en caso de que no sea posible la actualización del producto.

Esta acción consiste en bloquear las peticiones a Jira que contengan a nivel de proxy o balanceador de cargas alguna de las siguientes extensiones: jspa, jspx y jsp. Pueden encontrar más información en el apartado de Mitigation en esta nota técnica de Atlassian.


En Itera podemos ayudarte

Contacta con un especialista


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.