Atlassian устранила уязвимость в компонентах Jira
Atlassian устранила уязвимость в компонентах Jira
Atlassian Jira — популярная система для отслеживания ошибок, организации взаимодействия с пользователями и управления проектами.
Продукты Atlassian Jira применяют 170 тыс. клиентов более чем в 190 странах, в том числе 83% компаний из рейтинга Fortune Global 500
Atlassian устранила уязвимость в компонентах Jira
Недостаток безопасности получил идентификатор CVE-2020-14181 и оценку 5,3, что соответствует среднему уровню опасности. Причина возникновения ошибки связана с возможностью обращаться к определенному сценарию любому неавторизованному пользователю. Уязвимость затронула Jira Server и Data Center. Компания опубликовала обновления, в которых данная ошибка исправлена. Уязвимость устранена в 7.13.6, 8.5.7 и 8.12.0 версиях продуктов.
Подобные уязвимости существенно экономят время атакующему: они дают возможность определить наличие учетной записи с тем или иным логином в системе. Путем перебора различных логинов выясняется, какие пользователи присутствуют в системе. Если логина нет, система об этом сообщит, если есть — выдаст еще и персональные данные (если они в систему занесены). После перебора существующих логинов, атакующий мог перейти к подбору паролей к каждому существующему пользователю. В отсутствие этой уязвимости злоумышленнику приходится вслепую осуществлять брутфорс паролей к логинам, которых может и не быть в системе. Уязвимость уменьшает трудозатраты хакера и снижает вероятность обнаружения атаки, что в конечном счете делает мишень более привлекательной для хакера. И поэтому мы настоятельно рекомендуем обновиться».
