Atlassian усуває вразливість у компонентах Jira

Atlassian Jira - популярна система для відстеження помилок, взаємодії з користувачами та управління проектами.

Продукція Atlassian Jira використовується 170 000 клієнтами в більш ніж 190 країнах, включаючи 83% компаній Fortune Global 500

Atlassian усуває вразливість у компонентах Jira

Недолік безпеки отримав ідентифікатор CVE-2020-14181 і оцінку 5,3, що відповідає середньому рівню небезпеки. Причина помилки пов'язана з можливістю доступу будь-якого неавторизованого користувача до певного скрипту. Вразливість вплинула на Jira Server і центр обробки даних. Компанія опублікувала оновлення, в яких ця помилка виправлена. Вразливість була виправлена в версіях продуктів 7.13.6, 8.5.7 і 8.12.0.

Такі вразливості істотно економлять час зловмисника: дають можливість визначити наявність облікового запису з тим чи іншим логіном в системі. Шляхом пошуку через різні логіни з'ясовується, які користувачі присутні в системі. Якщо логіна немає, система повідомить про це, якщо є - також дасть персональні дані (якщо вони внесені в систему). Після пошуку через наявні логіни зловмисник міг перейти до підбору паролів до кожного існуючого користувача. При відсутності цієї вразливості зловмиснику доводиться сліпо перебирати паролі до логінів, яких може і не бути в системі. Вразливість знижує трудовитрати хакера і знижує ймовірність виявлення атаки, що в підсумку робить ціль більш привабливою для хакера. І тому ми настійно рекомендуємо модернізуватися».