EN


Security advisory Jira Service Management  Data Center and Jira Service Desk + Insight - CVE-2018-10054 - Remote Code Execution through Insight - Asset Management

published by Atlassian on October 20th 2021

Atlassian has published a security advisory affecting Confluence Server and Data Center products: 
https://jira.atlassian.com/browse/JSDSERVER-8716

Jira Service Management Cloud customers are not impacted by this.

Customers who have upgraded to Jira Service Management version 4.20.0 and Insight - Asset Management app version 8.9.3 or above are not affected.


What are the risks? 

Insight - Asset Management has a feature to import data from several databases (DBs). One of these DBs, the H2 DB, has a native function in its library which an attacker can use to run code on the server (remote code execution a.k.a. RCE). The H2 DB is bundled with Jira to help speed up the setup of Jira test environments.

The combination of the DB import feature introduced by Insight - Asset Management with the existing Jira H2 DB library exposed this vulnerability. The vulnerability exists whether or not the import configuration was saved and even if H2 was never used as a targeted DB. Accessing this vulnerability requires the following:

  • The user must be an authenticated Jira user AND

Either of the following privileges within Insight - Asset Management:

  • user or group permission to “Insight administrator”

  • user or group permission to “Object Schema Manager”


How to protect your instance? 

Atlassian recommends that you upgrade to the latest fix version but if you can’t, you should follow the mitigation steps. For a full description of the latest version of Jira Service Management and Insight - Asset Management, see the Jira Service Management release notes.

Upgrade

Jira Service Management Data Center

For Jira Service Management Data Center version 4.15.0 and greater, upgrade to 4.20.0 by downloading this version from our software downloads page.

Insight - Asset Management app

For:

  • Jira Service Management Data Center versions prior to version 4.15.0,

  • Jira Core (Server/Data Center),

  • Jira Software (Server/Data Center),

upgrade the Insight - Asset Management app to version 8.9.3 (which disables the connection to any H2 DB) by downloading it from the Atlassian Marketplace.

Consider compatibility with Jira as well. The fix version (8.9.3) of the app is compatible with:

App version

Application compatibility

8.9.3

Server

  • Jira Core Server 8.12.0 - 8.20

  • Jira Software Server 8.12.0 - 8.20

  • Jira Service Management Server 4.12 - 4.20

Data Center

  • Jira Core Data Center 8.12.0 - 8.20

  • Jira Software Data Center 8.12.0 - 8.20

  • Jira Service Desk Data Center 4.12 - 4.14

If you're running any other version, you must first upgrade to a version that is compatible with the 8.9.3 app (read our security bug fix policy for details). For example, if you're running Jira version 8.7.2 with the Insight - Asset Management app version 8.4.1, you must first upgrade to Jira version 8.12.0 or greater to be able to install the Insight - Asset Management app version 8.9.3. If you can’t upgrade immediately, follow the mitigation steps below.

A workaround is available. Our recommendation is to apply that workaround and not necessarily to upgrade your Confluence instance right away.

→ If your instance is hosted by Valiantys
We have done an impact analysis on all Jira instances managed by our teams, and depending on the version of your JSM / JSD + Insight, we upgrade the Insight add-on or apply the workaround provided by Atlassian which consists in removing the dependency that provides compatibility with the H2 database on all the instances concerned.

→ If your instance isn't hosted by Valiantys

We recommend our customers to apply the workaround:

Jira Server or Data Center not using the H2 database

  1. Shut down Jira

  2. Go to <Jira-Installation-Directory>/atlassian-jira/WEB-INF/lib/

  3. Locate the h2-1.4.XYZ.jar file and delete it (where “XYZ” is a placeholder for the version of the file, e.g. h2-1.4.200.jar)

  4. Start Jira again

Atlassian does not support production applications that would use an H2 database. This database should only be used for testing Jira.




If you need assistance to help you fix this issue, take advantage of your Valiantys Support contract and create a ticket on our dedicated portal. 

If you choose to upgrade your instance and need help, contact us.


We thank you for your confidence and we will be happy to help you if you have any questions.

Best regards,

The Valiantys Managed Services Team

FR


Faille de sécurité Jira Service Management  Data Center et Jira Service Desk + Insight - CVE-2018-10054 - Remote Code Execution through Insight - Asset Management

publiée par Atlassian le 20 Octobre 2021

Atlassian a publié une faille de sécurité concernant les produits Jira Server et Data Center : 
https://jira.atlassian.com/browse/JSDSERVER-8716

Les instances qui n'utilisent pas Insight ne sont pas concernées par cet avis de sécurité

Les clients ayant effectué une mise à niveau vers Jira Service Management version 4.20.0 et Insight - Asset Management version 8.9.3 ou supérieure ne sont pas concernés.


Quels sont les risques ? 

Insight - Asset Management dispose d'une fonctionnalité permettant d'importer des données à partir de plusieurs bases de données (DB). L'une de ces bases de données, la base de données H2, possède une fonction native dans sa bibliothèque qu'un attaquant peut utiliser pour exécuter du code sur le serveur (exécution de code à distance alias RCE). La base de données H2 est fournie avec Jira pour accélérer la configuration des environnements de test Jira.

La combinaison de la fonctionnalité d'importation de base de données introduite par Insight - Asset Management avec la bibliothèque de bases de données Jira H2 existante a exposé cette vulnérabilité. La vulnérabilité existe que la configuration d'import ait été sauvegardée ou non et même si H2 n'a jamais été utilisé comme BD ciblée. L'accès à cette vulnérabilité nécessite les éléments suivants :

  • L'utilisateur doit être un utilisateur Jira authentifié ET

L'un des privilèges suivants dans Insight - Asset Management :

  • autorisation d'utilisateur ou de groupe sur « Insight administrator »
  • autorisation d'utilisateur ou de groupe sur « Object Schema Manager »


Comment protéger votre instance ? 

Atlassian recommande de mettre à niveau vers la dernière version du correctif, mais si vous ne pouvez pas, vous devez suivre les étapes d'atténuation. Pour une description complète de la dernière version de Jira Service Management et Insight - Asset Management, consultez les notes de version de Jira Service Management.

Mise à niveau

Jira Service Management Data Center

Pour Jira Service Management Data Center version 4.15.0 et supérieure, effectuez une mise à niveau vers 4.20.0 en téléchargeant cette version via la page download-archives.

Insight - Asset Management app

Pour:

  • Jira Service Management Data Center antérieures à la version 4.15.0,
  • Jira Core (Server/Data Center),

  • Jira Software (Server/Data Center),


mettez à niveau l'application Insight - Asset Management vers la version 8.9.3 (qui désactive la connexion à toute base de données H2) en la téléchargeant depuis Atlassian Marketplace.

Pensez également à la compatibilité avec Jira. La version corrigée (8.9.3) de l'application est compatible avec :

App version

compatibilité Jira

8.9.3

Server

  • Jira Core Server 8.12.0 - 8.20

  • Jira Software Server 8.12.0 - 8.20

  • Jira Service Management Server 4.12 - 4.20

Data Center

  • Jira Core Data Center 8.12.0 - 8.20

  • Jira Software Data Center 8.12.0 - 8.20

  • Jira Service Desk Data Center 4.12 - 4.14


→ Si votre instance est hébergée par Valiantys
Nous avons mené une analyse d'impact sur toutes les instances Jira gérées par nos équipes, et en fonction de la version de votre JSM/ JSD + Insight, nous procédons à une monté de version de l'add-on Insight ou appliquons la solution de contournement fournie par Atlassian qui consiste a supprimer la dépendance qui apporte la compatibilité avec la base H2 sur toutes les instances concernées.

→ Si votre instance n'est pas hébergée par Valiantys
Nous recommandons à nos clients d'appliquer la solution de contournement :

Jira Server ou Data Center n'utilisant pas la base H2

  1. Stopper Jira

  2. Aller à <Jira-Installation-Directory>/atlassian-jira/WEB-INF/lib/

  3. Identifier le fichier h2-1.4.XYZ.jar et le supprimer (ou “XYZ” est la version de la dépendance version e.g. h2-1.4.200.jar)

  4. Lancer à nouveau Jira

    Atlassian ne supporte pas d'application de production qui utiliseraient une base H2. Cette base ne doit être utilisé uniquement pour tester Jira.



Si vous avez besoin d'aide pour corriger cette faille, n'hésitez pas à créer un ticket de support sur notre portail dédié. 

Si vous souhaitez tout de même effectuer une montée de version et avez besoin d'aide, contactez-nous


Nous vous remercions de votre confiance et nous restons à votre disposition si vous avez des questions.

Cordialement,

L'équipe Managed Services de Valiantys

  • No labels