Aviso de seguridad para Jira Service Desk Server y Data Center

Atlassian ha informado de unos problemas de seguridad que afecta a los productos de Jira Service Desk Server y Data Center. Versiones anteriores a 3.9.17, de 3.10.0 a 3.16.11, de 4.0.0 a 4.2.6, de 4.3.0 a 4.3.5, de 4.4.0 a 4.4.3 y 4.5.0 a 4.5.1 están afectados por estas vulnerabilidades.Se les recomienda mejorar las versiones de Jira Service Desk Server y Jira Service Desk Data Center a los usuarios que tengan instaladas estas versiones:
• Todas las versiones anteriores a 3.9.17
• 3.10.x
• 3.11.x
• 3.12.x
• 3.13.x
• 3.14.x
• 3.15.x
• 3.16.x anterior a 3.16.11 (la versión fija para 3.16.x)
• 4.0.x
• 4.1.x
• 4.2.x anterior a 4.2.6 (la versión fija para 4.2.x)
• 4.3.x anterior a 4.3.5 (la versión fija para 4.3.x)
• 4.4.x anterior a 4.4.3 (la versión fija para 4.4.x)
• 4.5.x anterior a 4.5.1 (la versión fija para 4.5.x)
Incidencia que permite la divulgación de información – CVE-2019-15003
Por diseño, Jira Service Desk otorga permisos a los usuarios del portal del cliente solo para plantear solicitudes y ver problemas. Esto permite a los usuarios interactuar con el portal del cliente sin tener acceso directo a Jira. Cualquier atacante con acceso al portal que pueda aprovechar una autorización puede omitir estas restricciones. Esta incidencia permite a un atacante ver todos los problemas dentro de todos los proyectos de Jira contenidos en la instancia vulnerable. Esto podría incluir proyectos de Jira Service Desk, proyectos de Jira Core y proyectos de Jira Software.Todas las versiones de Jira Service Desk anteriores a 3.9.17, de 3.10.0 a 3.16.11, de 4.0.0 a 4.2.6, de 4.3.0 a 4.3.5, de 4.4.0 a 4.4.3 y de 4.5 .0 antes de 4.5.1 se ven afectados. Este problema se puede rastrear aquí: https://jira.atlassian.com/browse/JSDSERVER-6590
Incidencia que permite la divulgación de información – CVE-2019-15004
Al igual que el caso anterior, esta incidencia permite a un atacante ver todos los problemas dentro de todos los proyectos de Jira contenidos en la instancia vulnerable.Todas las versiones de Jira Service Desk anteriores a 3.9.17, de 3.10.0 a 3.16.11, de 4.0.0 a 4.2.6, de 4.3.0 a 4.3.5, de 4.4.0 a 4.4.3 y de 4.5 .0 antes de 4.5.1 se ven afectados. Este problema se puede rastrear aquí: https://jira.atlassian.com/browse/JSDSERVER-6589
Mitigaciones

Si no puedes actualizar Jira Service Desk de inmediato o estás en proceso de migrar a Jira Cloud, entonces, como solución temporal, puedes:• Bloquear solicitudes a Jira que contengan … en el proxy inverso o en el nivel de equilibrio de carga
• Alternativamente, configurar Jira para redirigir las solicitudes que contengan … a una URL segura
• Agregar la siguiente a la sección de [jira-installation-directory] /atlassian-jira/WEB-INF/urlrewrite.xml:

Después de guardar los cambios anteriores, reiniciar Jira.

Después de actualizar Jira Service Desk, esta mitigación se puede eliminar.

Qué se debe hacer

Atlassian recomienda actualizar a la última versión. Para obtener una descripción completa de la última versión de Jira Service Desk Server y Jira Service Desk Data Center, consulta las Notas de la versión. Puedes descargar la última versión de Jira Service Desk Server y Jira Service Desk Data Center desde el Centro de descargas.Actualizar Jira Service Desk también requiere actualizar Jira Core. Verifica la matriz de compatibilidad para encontrar la versión equivalente para tu versión de Jira Service Desk.

Si necesitas ayuda con tu versión de Confluence o tienes alguna consulta acerca de las soluciones para esta vulnerabilidad contacta con nosotros a través de este formulario.

Puedes leer aquí el comunicado completo de Atlassian.

Equipo Tecnofor. 8 de Noviembre de 2019.