İş dünyasında çokça kullanılan iş takip yazılımı jirada yeni bir güvenlik açığı tespit edildi.
Yapılan açıklamada zafiyetin jira server ve datacenter sürümlerini etkilediği belirtiliyor. Saldırı , server tarafında template injections yapmak süretiyle kimlik doğrulama yapmadan kod çalıştırılmasına izin veriyor
Zafiyet jira server üzerinde smtp servisinin aktif edilmesi ve Contact Administrators Formunun etkinleştirilmesinden sonrasında ortaya çıkıyor.
Zafiyet kodu CVE-2019-11581 olarak tanımlanan güvenlik açığı için jiranın üreticisi Atlassian firması vakit kaybetmeden update yapılmasını tavsiye ediyor.
Eğer kısa vadede update ya da ürün yükseltme mümkün değilse aşağıdaki tedbirlerin alınması gerektiği bildiriliyor.
1 – SMTP servisini kapatmak
2 – Contact Administrators Formunu pasif hale getirmek
Zafiyetten etkilenen sürümler şöyle:
“All versions of Jira Server and Data Center from 4.4.0 before 7.6.14 (the fixed version for 7.6.x), from 7.7.0 before 7.13.5 (the fixed version for 7.13.x), from 8.0.0 before 8.0.3 (the fixed version for 8.0.x), from 8.1.0 before 8.1.2 (the fixed version for 8.1.x), and from 8.2.0 before 8.2.3 are affected by this vulnerability”
Kaynak
https://www.bleepingcomputer.com/news/security/jira-server-and-data-center-update-patches-critical-vulnerability/
