Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

EN


Security advisory Jira Data Center & Jira Service Management Data Center - Missing Authentication for Ehcache RMI - CVE-2020-36239 published by Atlassian on July 21st 2021

Atlassian has published a security advisory affecting Jira Data Center, Jira Software Data Center and Jira Service Management Data Center products: 


Note

Non-Data Center instances of Jira Server ( Core & , Jira Software ) and Jira Service Management are not affected.

Also Jira Cloud and Jira Service Management Cloud customers are not affected.


What are the risks? 

Jira Data Center, Jira Core Data Center, Jira Software Data Center, and Jira Service Management Data Center exposed a Ehcache RMI network service which attackers, who can connect to the service, on port 40001 and potentially 40011[0][1], could execute arbitrary code of their choice in Jira through deserialization due to a missing authentication vulnerability.

While Atlassian strongly suggests restricting access to the Ehcache ports to only Data Center instances, fixed versions of Jira will now require a shared secret in order to allow access to the Ehcache service.

[0] In Jira Data Center, Jira Core Data Center, and Jira Software Data Center versions prior to 7.13.1, the Ehcache object port can be randomly allocated.

[1] In Jira Service Management Data Center versions prior to 3.16.1, the Ehcache object port can be randomly allocated.


How to protect your instance? 

The fix recommended by Atlassian is to upgrade Jira Data Center, Jira Core Data Center, Jira Software Data Center to:

  • Version 8.17.0 or higher
  • Version 8.5.16 for 8.5.x LTS

  • Version 8.13.8 for 8.13.x LTS

Or to upgrade Jira Service Management Data Center

A workaround is available. Our recommendation is to apply that workaround and not necessarily to upgrade your Jira DataCenter instance right away.

→ If your instance is hosted by Valiantys
We have conducted an impact analysis on all Jira Data Center instances managed by our teams, and the workaround provided by Atlassian to mitigate the risk for all our hosted Jira Data Center instances, which consist of restricting access to the Ehcache RMI ports via a firewall, is already in place: in all our Jira Data Center instances, the access is restricted to the components of the infrastructure only.

→ If your instance isn't hosted by Valiantys
We recommend that you restrict access to the Ehcache RMI ports to Jira Data Center, Jira Core Data Center, and Jira Software Data Center, and Jira Service Management Data Center cluster instances via the use of firewalls or similar technologies.

In Jira Data Center, Jira Core Data Center, and Jira Software Data Center versions 7.13.1 and above ports that need to be restricted are:

  • port 40001

  • port 40011

In Jira Data Center, Jira Core Data Center, and Jira Software Data Center versions 7.13.0 and below ports that need to be restricted are:

In Jira Service Management Data Center versions 3.16.1 and above ports that need to be restricted are:

  • port 40001

  • port 40011

In Jira Service Management Data Center versions 3.16.0 and below ports that need to be restricted are:



You can find more information about the workarounds in the security advisory published by Atlassian.

If you need assistance to help you fix this issue, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you choose to upgrade your instance and need help, contact us.


We thank you for your confidence and we will be happy to help you if you have any questions.

Best regards,

The Valiantys Managed Services Team

FR


Faille de sécurité Jira Data Center & Jira Service Management Data Center - Missing Authentication for Ehcache RMI - CVE-2020-36239 publiée par Atlassian le 21 Juillet 2021

Atlassian a publié une faille de sécurité concernant les produits Jira Data Center, Jira Software Data Center et Jira Service Management Data Center :


Note

Cette faille de sécurité ne touche pas les versions non-Data Center de Jira Server ( Core & , Jira Software ) et Jira Service Management.

Les clients Jira Cloud and Jira Service Management Cloud ne sont également pas concernés par cette faille de sécurité.


Quels sont les risques ? 

Jira Data Center, Jira Core Data Center, Jira Software Data Center et Jira Service Management Data Center ont exposé un service réseau Ehcache RMI par lequel des attaquants, qui peuvent se connecter au service, sur le port 40001 et potentiellement 40011[0][1], pourraient exécuter le code arbitraire de leur choix dans Jira via la désérialisation en raison d'une vulnérabilité d'authentification manquante.

Alors qu'Atlassian suggère fortement de restreindre l'accès aux ports Ehcache aux seules instances du Data Center, les versions corrigées de Jira nécessiteront désormais un secret partagé afin de permettre l'accès au service Ehcache.

[0] Dans les versions Jira Data Center, Jira Core Data Center et Jira Software Data Center antérieures à 7.13.1, le port d'objet Ehcache peut être alloué de manière aléatoire.

[1] Dans les versions Jira Service Management Data Center antérieures à 3.16.1, le port d'objet Ehcache peut être alloué de manière aléatoire.


Comment protéger votre instance ? 

Un moyen de contournement est disponible. Notre recommandation est de mettre en place ce contournement, sans nécessairement effectuer une montée de version immédiatement.

→ Si votre instance est hébergée par Valiantys
Nous avons effectué une analyse d'impact de toutes les instances Jira Data Center que nous hébergeons, et la solution de contournement fournie par Atlassian pour atténuer le risque pour toutes nos instances Jira Data Center hébergées, qui consiste à restreindre l'accès aux ports Ehcache RMI via un pare-feu (firewall), est déjà en place : dans tous nos instances Jira Data Center, l'accès n'est autorisé qu'aux composants de l'infrastructure seulement. 

→ Si votre instance n'est pas hébergée par Valiantys
Nous vous recommandons de restreindre l'accès aux ports Ehcache RMI sur les instances Jira Data Center, Jira Core Data Center, Jira Software Data Center et Jira Service Management Data Center via l'utilisation de pare-feu ou de technologies similaires.

Dans les versions 7.13.1 et supérieures de Jira Data Center, Jira Core Data Center et Jira Software Data Center , les ports qui doivent être restreints sont :

  • port 40001
  • port 40011

Dans les versions 7.13.0 et inférieures de Jira Data Center, Jira Core Data Center et Jira Software Data Center, les ports qui doivent être restreints sont :

  • port 40001
  • port 40011
  • ports dans la plage 1024-65536 (dans la version 7.3.1 et supérieure, vous pouvez appliquer la solution de contournement détaillée dans https://jira.atlassian.com/browse/JRASERVER-66608 pour éviter d'avoir à restreindre l'accès à ces ports)

Dans les versions 3.16.1 et supérieures de Jira Service Management Data Center, les ports qui doivent être restreints sont :

  • port 40001
  • port 40011

Dans les versions 3.16.0 et inférieures de Jira Service Management Data Center, les ports qui doivent être restreints sont :

  • port 40001
  • port 40011
  • ports dans la plage 1024-65536 (dans la version 3.3.1 et supérieure, vous pouvez appliquer la solution de contournement détaillée dans https://jira.atlassian.com/browse/JRASERVER-66608 pour éviter d'avoir à restreindre l'accès à ces ports)



Vous pouvez trouver plus d'informations sur les solutions de contournement dans l'annonce publiée par Atlassian.

Si vous avez besoin d'aide pour corriger cette faille, n'hésitez pas à créer un ticket de support sur notre portail dédié. 

Si vous souhaitez tout de même effectuer une montée de version et avez besoin d'aide, contactez-nous


Nous vous remercions de votre confiance et nous restons à votre disposition si vous avez des questions.

Cordialement,

L'équipe Managed Services de Valiantys