Alerte de sécurité sur Jira – CVE-2019-11581

Alerte de sécurité Jira : qui est impacté ?

Jira Server et Data Center sont impactés par la faille de sécurité CVE-2019-11581, depuis la version Jira 4.x jusqu’à la version Jira 8. Les versions suivantes sont vulnérables :

4.4.x

5.x.x

6.x.x

7.0.x

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.6.x avant 7.6.14

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

7.13.x avant 7.13.5

8.0.x avant 8.0.3

8.1.x avant 8.1.2

8.2.x avant 8.2.3

Les seules versions qui ne sont pas touchées sont les suivantes :

7.6.14

7.13.5

8.0.3

8.1.2

8.2.3

Comment corriger cette faille de sécurité ?

L’action conseillée est la mise à jour de votre instance vers une version corrective, par exemple la version Enterprise 7.13.5. Dans l’immédiat, la solution de contournement que nous vous conseillons d’effectuer au plus vite consiste à désactiver le formulaire de contact des administrateurs Jira :

  1. Allez dans le menu d’administration globale de Jira > Système

2. Cliquez sur Modifier les paramètres

3. En bas de la page, désactivez la fonctionnalité Formulaire de contact des administrateurs et cliquez sur Mettre à jour

En quoi consiste cette vulnérabilité Jira ?

La faille de sécurité CVE-2019-11581 est due à un bug dans l’injection de templates sur Jira au niveau des actions ContactAdministrators et SendBulkMail. Il y a 2 vecteurs d’attaque potentiels :

  • un serveur SMTP est configuré et le formulaire de Contact Administrateur est activé
  • un serveur SMTP est configuré et l’attaquant a un accès Administrateur Jira

Dans le premier cas, un attaquant est capable d’exploiter la vulnérabilité même sans s’authentifier sur Jira, ce qui la rend extrêmement critique car du code peut ensuite être exécuté sur le serveur Jira compromis. Dans le second cas, l’utilisateur ayant déjà des droits administrateurs sur Jira, il est moins probable qu’il soit à l’origine d’une attaque.

Pourquoi mettre à jour Jira ?

Profitez des dernières nouveautés et améliorations pour Jira dès aujourd’hui, prévoyez la montée de version de votre instance !

Gagnez du temps en faisant appel à nos consultants certifiés Atlassian pour votre upgrade Jira ou Confluence. Twybee est présent sur Lyon, Grenoble, Annecy, Marseille et peut intervenir sur toute la France pour vous aider.

Jira Workflow : créer son premier workflow

Nous vous aidons à créer votre premier workflow Jira. Quelles sont les bonnes pratiques, comment paramétrer un nouveau workflow ? Pourquoi en créer un nouveau ? Retrouvez toutes ces informations dans cet article ! Bonus : traduction française/anglaise des termes abordés dans la configuration d’un workflow.

Atlassian Cloud : 10 idées reçues liées à la migration

Gérer ses propres applications est moins cher sur Server, le stockage des données sur site est plus sûr que dans le Cloud, les grandes entreprises n’utilisent pas le Cloud. FAUX ! Découvrez dans cet article les 10 grandes idées reçues liées à la migration des solutions Atlassian vers le Cloud.

Kanban ou Scrum : quel tableau Jira choisir ?

Tableau Kanban ou tableau Scrum pour votre projet Jira ? Découvrez dans cet article ce que proposent ces 2 modèles et leurs différences. Trouvez enfin le tableau adapté à votre équipe !

Automation for Jira : utiliser les smart values

En utilisant les smart values, vous avez le pouvoir de personnaliser vos automatisations. Vos messages ou notifications pourront comporter : le temps restant, les tickets liés et n’importe quelle valeur. Trouvez la smart value adaptée à votre demande !

Contactez-nous

Share This