Contactamos con ustedes para informarles de tres vulnerabilidades de seguridad independientes tipificadas por Atlassian como críticas detectadas la primera de ellas en JIRA Software y Jira Core, la segunda en Jira Service Desk y la tercera en Bitbucket, comunicadas oficialmente por Atlassian hace tan solo unas horas.

¿Qué productos se ven afectados?

  • JIRA Software
  • Jira Core
  • Jira Service Desk
  • Bitbucket en versiones Server y Data Center.

Pueden encontrar la comunicación oficial de Atlassian en los siguientes enlaces (en inglés):

·       Vulnerabilidad JIRA Software y Jira Core

·       Vulnerabilidad Jira Service Desk

·       Vulnerabilidad Bitbucket

También pueden seguir el avance de las incidencias en los siguientes enlaces (en inglés):

·       Incidencia JIRA Software y Jira Core

·       Incidencia Jira Service Desk

·       Incidencia Bitbucket

JIRA Software y Jira Core

Un usuario con acceso de administrador a la herramienta (JIRA Administrator) podría ejecutar código malicioso en el servidor donde se aloja la instancia de JIRA Software, Jira Core o Jira Service Desk.

El usuario podría explotar esta funcionalidad a través de inyección en plantillas de servidor en el JIM (JIRA Importers Plugin).

Jira Service Desk

Un usuario con capacidad para acceder únicamente al portal de usuario de JSD y ver sus tickets podría otorgarse permisos y listar todos los tickets creados en todos los proyectos de la instancia afectada.

Esta vulnerabilidad sólo puede ser explotada si una propiedad particular está habilitada en JSD: Anyone can email the service desk or raise a request in the portal.

No obstante, ITERA le recomienda mitigar esta vulnerabilidad en cualquier caso.

Bitbucket

Un usuario anónimo podría ejecutar código en servidor donde se aloja Bitbucket mediante la adición de argumentos adicionales en comandos de GIT.

JIRA Software y Jira Core

Todas las versiones del producto desde la 7.0.x hasta la 8.4.0, ambas inclusive excepto las versiones correspondientes a los parches que acaba de desplegar Atlassian (7.6.16, 7.13.8, 8.1.3, 8.2.5, 8.3.4, 8.4.1).

Jira Service Desk

Todas las versiones del producto desde la 3.9.x hasta la 4.4.x, ambas inclusive excepto las versiones correspondientes a los parches que acaba de desplegar Atlassian (3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4, 4.4.1).

Bitbucket

Todas las versiones del producto excepto las versiones correspondientes a los parches que ha generado Atlassian (5.16.10, 6.0.10, 6.1.8, 6.2.6, 6.3.5, 6.4.3, 6.5.2).

En caso de estar afectado por estas vulnerabilidades, Atlassian expone dos vías para mitigarlas: actualización de la herramienta o solución temporal, siempre recomendando la vía de actualización. Puede aplicar la solución únicamente en la herramienta afectada:

1.     La respuesta recomendada por Atlassian para mitigar de forma permanente esta vulnerabilidad es aplicar uno de los parches específicos que Atlassian acaba de hacer público para este fin. Aplique únicamente el parche en la herramienta afectada.

·       Para JIRA Software y Jira Core: 7.6.16, 7.13.8, 8.1.3, 8.2.5, 8.3.4, 8.4.1.

·       Para JIRA Service Desk: 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4, 4.4.1.

·       Para Bitbucket: 5.16.10, 6.0.10, 6.1.8, 6.2.6, 6.3.5, 6.4.3, 6.5.2

2.     Como alternativa, Altassian propone un workaround en caso de que no sea posible la actualización del producto.

Pueden encontrar más información para

·       JIRA Software y Jira Core en esta nota técnica de Atlassian.

·       JIRA Service Desk en esta nota técnica de Atlassian.

·       Bitbucket en esta nota técnica de Atlassian.

Contáctanos

Solicita una consulta gratuita. Envíanos un mensaje y en breve uno de nuestros representantes se pondrá en contacto contigo.