Blog

08/11/2019

Aviso de seguridad para Jira Service Desk Server y Data Center

Atlassian ha informado de unos problemas de seguridad que afecta a los productos de Jira Service Desk Server y Data Center. Versiones anteriores a 3.9.17, de 3.10.0 a 3.16.11, de 4.0.0 a 4.2.6, de 4.3.0 a 4.3.5, de 4.4.0 a 4.4.3 y 4.5.0 a 4.5.1 están afectados por estas vulnerabilidades.

Se les recomienda mejorar las versiones de Jira Service Desk Server y Jira Service Desk Data Center a los usuarios que tengan instaladas estas versiones:

  • Todas las versiones anteriores a 3.9.17
  • 3.10.x
  • 3.11.x
  • 3.12.x
  • 3.13.x
  • 3.14.x
  • 3.15.x
  • 3.16.x anterior a 3.16.11 (la versión fija para 3.16.x)
  • 4.0.x
  • 4.1.x
  • 4.2.x anterior a 4.2.6 (la versión fija para 4.2.x)
  • 4.3.x anterior a 4.3.5 (la versión fija para 4.3.x)
  • 4.4.x anterior a 4.4.3 (la versión fija para 4.4.x)
  • 4.5.x anterior a 4.5.1 (la versión fija para 4.5.x)

Incidencia que permite la divulgación de información – CVE-2019-15003

Por diseño, Jira Service Desk otorga permisos a los usuarios del portal del cliente solo para plantear solicitudes y ver problemas. Esto permite a los usuarios interactuar con el portal del cliente sin tener acceso directo a Jira. Cualquier atacante con acceso al portal que pueda aprovechar una autorización puede omitir estas restricciones. Esta incidencia permite a un atacante ver todos los problemas dentro de todos los proyectos de Jira contenidos en la instancia vulnerable. Esto podría incluir proyectos de Jira Service Desk, proyectos de Jira Core y proyectos de Jira Software.

Todas las versiones de Jira Service Desk anteriores a 3.9.17, de 3.10.0 a 3.16.11, de 4.0.0 a 4.2.6, de 4.3.0 a 4.3.5, de 4.4.0 a 4.4.3 y de 4.5 .0 antes de 4.5.1 se ven afectados. Este problema se puede rastrear aquí: https://jira.atlassian.com/browse/JSDSERVER-6590

Incidencia que permite la divulgación de información – CVE-2019-15004

Al igual que el caso anterior, esta incidencia permite a un atacante ver todos los problemas dentro de todos los proyectos de Jira contenidos en la instancia vulnerable.

Todas las versiones de Jira Service Desk anteriores a 3.9.17, de 3.10.0 a 3.16.11, de 4.0.0 a 4.2.6, de 4.3.0 a 4.3.5, de 4.4.0 a 4.4.3 y de 4.5 .0 antes de 4.5.1 se ven afectados. Este problema se puede rastrear aquí: https://jira.atlassian.com/browse/JSDSERVER-6589

Mitigaciones

Si no puedes actualizar Jira Service Desk de inmediato o estás en proceso de migrar a Jira Cloud, entonces, como solución temporal, puedes:

<rule>
    <from>/servicedesk/.*\.jsp.*</from>
    <to type="temporary-redirect">/</to>
</rule>

Después de guardar los cambios anteriores, reiniciar Jira.

Después de actualizar Jira Service Desk, esta mitigación se puede eliminar

Qué se debe hacer

Atlassian recomienda actualizar a la última versión. Para obtener una descripción completa de la última versión de Jira Service Desk Server y Jira Service Desk Data Center, consulta las Notas de la versión. Puedes descargar la última versión de Jira Service Desk Server y Jira Service Desk Data Center desde el Centro de descargas.

Actualizar Jira Service Desk también requiere actualizar Jira Core. Verifica la matriz de compatibilidad para encontrar la versión equivalente para tu versión de Jira Service Desk.

Si necesitas ayuda con tu versión de Confluence o tienes alguna consulta acerca de las soluciones para esta vulnerabilidad contacta con nosotros a través de este formulario.

Puedes leer aquí el comunicado completo de Atlassian.

Noticias