01综述

    近日,JIRA官方发布安全通告修复了一个服务器端的模板注入漏洞(CVE-2019-11581),影响Jira Server和Jira Data Center。成功利用该漏洞的攻击者可以在受影响服务器上远程执行代码。使用Jira Cloud的用户不受影响。

    官方通告链接:
    https://confluence.atlassian.com/jira/jira-security-advisory-2019-07-10-973486595.html

    02漏洞概括
    该漏洞源于Jira Server和 Data Center中的ContactAdministrator以及SendBulkMail操作。成功利用该漏洞至少需要满足以下条件之一:
    1. 在JIRA中配置了SMTP服务器,同时启用了 Contact Administrators Form选项;
    2. 在JIRA中配置了SMTP服务器,同时攻击者拥有 “JIRA Administrators” 访问权限。

    03影响范围

    受影响的版本
    以下版本的Jira Server 和 Jira Data Center受影响:
    • 4.4.x
    • 5.x.x
    • 6.x.x
    • 7.0.x
    • 7.1.x
    • 7.2.x
    • 7.3.x
    • 7.4.x
    • 7.5.x
    • 7.6.14(7.6.x的修复版本)之前的7.6.x
    • 7.7.x
    • 7.8.x
    • 7.9.x
    • 7.10.x
    • 7.11.x
    • 7.12.x
    • 7.13.5(7.13.x的修复版本)之前的7.13.x
    • 8.0.3(8.0.x的修复版本)之前的8.0.x
    • 8.1.2(8.1.x的修复版本)之前的8.1.x
    • 8.2.3(8.2.x的修复版本)之前的8.2.x

    不受影响的版本
    以下版本的Jira Server 和 Jira Data Center不受影响:
    • 7.6.14
    • 7.13.5
    • 8.0.3
    • 8.1.2
    • 8.2.3

    04解决方案
    Jira官方已经发布了新版本修复了上述漏洞,受影响用户请尽快升级进行防护:
    • 8.2.3 下载地址
    https://www.atlassian.com/software/jira/download
    • 8.1.2 下载地址
    https://www.atlassian.com/software/jira/update.
    • 8.0.3 下载地址
    https://www.atlassian.com/software/jira/update.
    • 7.13.5 下载地址
    https://www.atlassian.com/software/jira/update.
    • 7.6.14 下载地址
    https://www.atlassian.com/software/jira/update.

    同时Jira官方也给出了临时措施用来进行防护:
    • 禁用 Contact Administrators Form
    • 禁止访问 /secure/admin/SendBulkMail!default.jspa,可参考https://confluence.atlassian.com/kb/how-to-block-access-to-a-specific-url-at-tomcat-966668691.html进行操作。