Alerte de sécurité sur Jira – CVE-2019-11581

Alerte de sécurité Jira : qui est impacté ?

Jira Server et Data Center sont impactés par la faille de sécurité CVE-2019-11581, depuis la version Jira 4.x jusqu’à la version Jira 8. Les versions suivantes sont vulnérables :

4.4.x

5.x.x

6.x.x

7.0.x

7.1.x

7.2.x

7.3.x

7.4.x

7.5.x

7.6.x avant 7.6.14

7.7.x

7.8.x

7.9.x

7.10.x

7.11.x

7.12.x

7.13.x avant 7.13.5

8.0.x avant 8.0.3

8.1.x avant 8.1.2

8.2.x avant 8.2.3

Les seules versions qui ne sont pas touchées sont les suivantes :

7.6.14

7.13.5

8.0.3

8.1.2

8.2.3

Comment corriger cette faille de sécurité ?

L’action conseillée est la mise à jour de votre instance vers une version corrective, par exemple la version Enterprise 7.13.5. Dans l’immédiat, la solution de contournement que nous vous conseillons d’effectuer au plus vite consiste à désactiver le formulaire de contact des administrateurs Jira :

  1. Allez dans le menu d’administration globale de Jira > Système

2. Cliquez sur Modifier les paramètres

3. En bas de la page, désactivez la fonctionnalité Formulaire de contact des administrateurs et cliquez sur Mettre à jour

En quoi consiste cette vulnérabilité Jira ?

La faille de sécurité CVE-2019-11581 est due à un bug dans l’injection de templates sur Jira au niveau des actions ContactAdministrators et SendBulkMail. Il y a 2 vecteurs d’attaque potentiels :

  • un serveur SMTP est configuré et le formulaire de Contact Administrateur est activé
  • un serveur SMTP est configuré et l’attaquant a un accès Administrateur Jira

Dans le premier cas, un attaquant est capable d’exploiter la vulnérabilité même sans s’authentifier sur Jira, ce qui la rend extrêmement critique car du code peut ensuite être exécuté sur le serveur Jira compromis. Dans le second cas, l’utilisateur ayant déjà des droits administrateurs sur Jira, il est moins probable qu’il soit à l’origine d’une attaque.

Pourquoi mettre à jour Jira ?

Profitez des dernières nouveautés et améliorations pour Jira dès aujourd’hui, prévoyez la montée de version de votre instance !

Gagnez du temps en faisant appel à nos consultants certifiés Atlassian pour votre upgrade Jira ou Confluence. Twybee est présent sur Lyon, Grenoble, Annecy, Marseille et peut intervenir sur toute la France pour vous aider.

Actualité Atlassian Cloud : Juin 2021

Actualité Atlassian Cloud : Juin 2021

Découvrez les nouvelles mises à jour des solutions Confluence et Jira : planification des posts, dark mode, Sandbox, préparation des sprints et encore bien plus !

Atlassian Team ’21 : le récap’

Atlassian Team ’21 : le récap’

À l’occasion de son événement annuel Team ’21, Atlassian a révélé des annonces concernant les mises à jour de Jira et Confluence ainsi que de nouveaux produits.

Actualité Atlassian Cloud : Avril 2021

Actualité Atlassian Cloud : Avril 2021

Découvrez les nouvelles mises à jour des solutions Confluence et Jira : planification des posts, dark mode, Sandbox, préparation des sprints et encore bien plus !

Contactez-nous

Share This