Alerte de sécurité sur Jira – CVE-2019-11581

Alerte de sécurité Jira : qui est impacté ?

Jira Server et Data Center sont impactés par la faille de sécurité CVE-2019-11581, depuis la version Jira 4.x jusqu’à la version Jira 8. Les versions suivantes sont vulnérables :

4.4.x

5.x.x

6.x.x

7.0.x

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.6.x avant 7.6.14

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

7.13.x avant 7.13.5

8.0.x avant 8.0.3

8.1.x avant 8.1.2

8.2.x avant 8.2.3

Les seules versions qui ne sont pas touchées sont les suivantes :

7.6.14

7.13.5

8.0.3

8.1.2

8.2.3

Comment corriger cette faille de sécurité ?

L’action conseillée est la mise à jour de votre instance vers une version corrective, par exemple la version Enterprise 7.13.5. Dans l’immédiat, la solution de contournement que nous vous conseillons d’effectuer au plus vite consiste à désactiver le formulaire de contact des administrateurs Jira :

  1. Allez dans le menu d’administration globale de Jira > Système

2. Cliquez sur Modifier les paramètres

3. En bas de la page, désactivez la fonctionnalité Formulaire de contact des administrateurs et cliquez sur Mettre à jour

En quoi consiste cette vulnérabilité Jira ?

La faille de sécurité CVE-2019-11581 est due à un bug dans l’injection de templates sur Jira au niveau des actions ContactAdministrators et SendBulkMail. Il y a 2 vecteurs d’attaque potentiels :

  • un serveur SMTP est configuré et le formulaire de Contact Administrateur est activé
  • un serveur SMTP est configuré et l’attaquant a un accès Administrateur Jira

Dans le premier cas, un attaquant est capable d’exploiter la vulnérabilité même sans s’authentifier sur Jira, ce qui la rend extrêmement critique car du code peut ensuite être exécuté sur le serveur Jira compromis. Dans le second cas, l’utilisateur ayant déjà des droits administrateurs sur Jira, il est moins probable qu’il soit à l’origine d’une attaque.

Pourquoi mettre à jour Jira ?

Profitez des dernières nouveautés et améliorations pour Jira dès aujourd’hui, prévoyez la montée de version de votre instance !

Gagnez du temps en faisant appel à nos consultants certifiés Atlassian pour votre upgrade Jira ou Confluence. Twybee est présent sur Lyon, Grenoble, Annecy, Marseille et peut intervenir sur toute la France pour vous aider.

Automation for Jira : les questions récurrentes

Automation est dès à présent disponible nativement sur Jira. Il est utile pour toutes les équipes : que vous soyez une start-up, une PME ou un grand groupe, tout le monde souhaite gagner du temps. En simple, Automation est un générateur de règles et tout cela sans...

Contactez-nous

Share This