ѕоиск
 лиенты

Ѕаг в Jira, раскрывающий секретные ключи серверов, все еще опасен

»менно так считают зарубежные эксперты. ќшибка, найденна€ в широко используемом программном обеспечении Atlassian, позвол€ет хакерам проникнуть в корпоративные 

—тарые версии программного обеспечени€ Atlassian содержат у€звимый прокси-сервер, который можно использовать дл€ проведени€ атак с межсайтовыми сценари€ми (XSS, скриптинг) и атак Server Side Request Forgery (SSRF позвол€ет совершать запросы с у€звимого сервера и возвращает конфиденциальные данные из внутренней сети).

«лоумышленник может использовать атаку SSRF, котора€ позвол€т отфильтровать метаданные Amazon Web Services (AWS), среди которых есть и секретные коды доступа. ѕриватные ключи в руках злоумышленника могут привести к захвату инстанса, что приведет к краже или уничтожению данных.

Ќациональный институт стандартов и технологий (NIST) присвоил этому багу 6.1 баллов из 10 по шкале опасности. ”€звимость была зафиксирована в марте 2017 года и получила идентификатор CVE-2017-9506. ¬скоре компани€ Atlassian сообщила, что устранила эту проблему.

Ќесмотр€ на то, что продукты были обновлены, многие компании по-прежнему используют устаревшие версии программного обеспечени€, которые часто размещаютс€ на субдомене компании или легко доступны дл€ поиска. ћы и сейчас наблюдаем дес€тки инстансов российских компаний, работающих на у€звимых верси€х Jira и Confluence.

—огласно Atlassian, у€звимы следующие версии:

  • Bamboo < 6.0.0
  • Confluence < 6.1.3
  • Jira < 7.3.5
  • Bitbucket < 4.14.4
  • Crowd < 2.11.2
  • Crucible & Fisheye < 4.3.2

≈сли вы все еще используете проблемные версии продуктов Atlassian, рекомендуем как можно скорее обновить их. ¬ы можете сделать это самосто€тельно или обратитьс€ к специалистам компании Ђјпланаї.

»сточники: www.dontpanic.42.nl/2017/12/there-is-proxy-in-your-atlassian.htmlwww.zdnet.com/article/jira-bug-exposed-private-server-keys-at-major-companies-researcher-finds/