CVE-2019-11580

Суть уязвимости

Злоумышленник может выполнить произвольный код на сервере Crowd, отправив специально сформированный HTTP-запрос. Уязвимость возникает из-за того, что плагин для разработчиков pdkinstall, предназначенный для установки плагинов вручную, ошибочно включен в релизных сборках. Это позволяет аутентифицированному пользователю с правами администратора приложения загрузить и выполнить вредоносный плагин.

Как исправить

Установите фиксированную версию Atlassian Crowd / Crowd Data Center.

Для Crowd: * Обновитесь до версии 3.4.5 или выше. * Если используете apt, выполните: bash sudo apt update sudo apt install crowd=<версия_3.4.5_или_выше> * Если используете архив (tar.gz/.bin), скачайте и установите исправленную версию с официального сайта.

Для Crowd Data Center: * Обновитесь до версии 3.4.5 или выше, соответствующей вашему релизу Data Center.

Проверка версии: После обновления убедитесь, что на странице <URL_Crowd>/crowd/console > "О программе" отображается версия 3.4.5 или новее.

Временное решение

Если немедленное обновление невозможно, отключите уязвимый плагин pdkinstall вручную.

1. Остановите службу Crowd. bash sudo systemctl stop crowd
2. Перейдите в каталог установки Crowd (например, /opt/atlassian/crowd/) и удалите или переименуйте JAR-файл плагина: bash # Переименование (рекомендуется для возможности отката) sudo mv ./crowd-webapp/WEB-INF/lib/crowd-pdkinstall-plugin-*.jar ./crowd-webapp/WEB-INF/lib/crowd-pdkinstall-plugin-*.jar.disabled
3. Запустите службу Crowd заново. bash sudo systemctl start crowd
4. Дополнительно: Ограничьте сетевой доступ к интерфейсу управления Crowd (порт по умолчанию 8095) с помощью брандмауэра, разрешив подключения только с доверенных IP-адресов администраторов.