CVE-2019-11581
Atlassian Jira Server and Data Center
2022-03-07
Atlassian Jira Server and Data Center contain a server-side template injection vulnerability which can allow for remote code execution.
Технический анализ и план устранения
Суть уязвимости
Уязвимость — инъекция шаблонов на стороне сервера (SSTI) в Jira. Злоумышленник может отправить специально сформированный HTTP-запрос к определенным конечным точкам (например, связанным с визуализацией полей). Это позволяет выполнить произвольный код на сервере Jira с правами пользователя, под которым работает приложение.
Как исправить
Обновите Atlassian Jira Server или Data Center до одной из исправленных версий: * Jira 8.0.x: до версии 8.0.4 или выше. * Jira 7.13.x: до версии 7.13.5 или выше. * Jira 7.12.x: до версии 7.12.6 или выше. * Jira 7.6.x до 7.11.x: до версии 7.6.15 или выше (для соответствующего минорного релиза).
Процедура обновления (Linux/общая):
1. Создайте полную резервную копию установки Jira и базы данных.
2. Остановите службу Jira.
bash
sudo systemctl stop jira
3. Скачайте исправленную версию с официального сайта Atlassian.
4. Распакуйте архив и замените текущую директорию установки (или выполните установку поверх существующей, следуя официальной инструкции).
5. Запустите службу Jira.
bash
sudo systemctl start jira
6. Проверьте версию в интерфейсе Jira (Администрирование > Приложения > Управление приложениями > Версия Jira).
Временное решение
Если немедленное обновление невозможно:
1. Ограничьте доступ: Настройте сетевой ACL или брандмауэр, чтобы разрешить доступ к Jira только с доверенных IP-адресов (офис, VPN).
2. Настройте WAF (Web Application Firewall): Разверните правила для блокировки запросов, содержащих шаблонные выражения (например, ${{, <%, ${). Пример правила для ModSecurity (CRS):
SecRule ARGS "@rx \$\{.*\}" "id:10001,phase:2,deny,msg:'Potential SSTI attack'"
3. Отключите уязвимые конечные точки (если не используются): Рассмотрите возможность блокировки запросов к /secure/popups/ и /secure/admin/ с помощью обратного прокси (nginx/Apache), если они не критичны для работы. Внимание: Это может сломать функционал.
4. Минимизируйте права: Убедитесь, что служба Jira запущена от отдельного пользователя с минимально необходимыми правами на файловой системе и в ОС.