Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

EN

Security advisory Jira Server and Jira Data Center - Template Injection in Jira Importers Plugin - CVE-2019-15001 published by Atlassian on September 18th 2019

Atlassian has published security advisories concerning all older versions of Jira: https://confluence.atlassian.com/jira/jira-security-advisory-2019-09-18-976766250.html?_ga=2.198255151.1609024587.1568619703-677645412.1537125525

What are the risks? 

This vulnerability allows a potential remote attacker to remotely execute code on systems that run a vulnerable version of Jira Server or Data Center. However, please note the attacker must have Jira Administrators privileges. As a result, we consider this vulnerability as minor, as this permission level should already be highly restricted.


How to protect your instance? 

This vulnerability has a workaround available and can be exploited only by Jira Administrators, our recommendation is then to apply the workaround and not necessarily to upgrade your Jira instance right away.

→ If your instance is hosted by Valiantys

We have conducted an impact analysis on all Jira instances managed by our teams. We have applied the workaround provided by Atlassian to mitigate the risk for all our hosted Jira instances, which consists in preventing PUT access to a specific REST endpoint (/rest/jira-importers-plugin/1.0/demo/create)

We thank you for your confidence in our Cloud offering and we would be happy to help you if you have any questions.


→ If your instance isn't hosted by Valiantys

We recommend that you install Atlassian's hotfix, available here https://confluence.atlassian.com/jira/jira-security-advisory-2019-09-18-976766250.html?_ga=2.198255151.1609024587.1568619703-677645412.1537125525.

If you need assistance to help you fixing this issue, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you choose to upgrade your instance and need help, contact us.


Best regards,

The Valiantys Support Team

FR

Faille de sécurité Jira Server & Jira Data Center - Template Injection in Jira Importers Plugin - CVE-2019-15001 publiée par Atlassian le 18 septembre 2019

Atlassian a publié une faille de sécurité concernant toutes les anciennes versions de Jira: https://confluence.atlassian.com/jira/jira-security-advisory-2019-09-18-976766250.html?_ga=2.198255151.1609024587.1568619703-677645412.1537125525

Quels sont les risques ? 

Cette vulnérabilité permet à un attaquant potentiel d'exécuté du code depuis un serveur qui héberge une version vulnérable de Jira Server ou Data Center. Cela dit, veuillze noter que l'attaquant doit avoir des droits d'administrateur Jira. Par conséquent, nous considérons cette vulnérabilité comme mineure, les droits d'administrateurs étant particulièrement surveillés.


Comment protéger votre instance? 

Cette vulnérabilité dispose d'un moyen de contournement disponible et ne peut être exploitée que par un administrateur Jira. Notre recommendation est donc de mettre en place le moyen de contournement et pas nécessairement d'effectuer une montée de version dès maintenant.

→ Si votre instance est hébergée par Valiantys

Nous avons effectué une analyse d'impact de toutes les instances Jira que nous hébergeons. Nous avons appliqué le moyen de contournement fourni par Atlassian qui permet de neutraliser cette vulnérabilité, et qui consiste en la désactivation d'un REST Endpoint en mode PUT (/rest/jira-importers-plugin/1.0/demo/create)

Merci pour votre confiance en notre offre Cloud, nous serons ravis de répondre à vos questions si vous en avez.


→ Si votre instance n'est pas hébergée par Valiantys

Nous vous recommandons d'installer le patch mis à disposition par Atlassian et disponible ici : https://confluence.atlassian.com/jira/jira-security-advisory-2019-09-18-976766250.html?_ga=2.198255151.1609024587.1568619703-677645412.1537125525.

Si vous avez besoin d'aide pour corriger cette faille, n'hésitez pas à créer un ticket de support sur notre portail dédié. 

Si vous souhaitez tout de même effectuer uen montée de version et avez besoin d'aide, contactez-nous.


Cordialement,

The Valiantys Support Team