最近有报道说是因为jira的误配置问题,导致了一些数据泄露,其中包含一些大公司,比如NASA, Google, Yahoo,Lenovo, 1password, Informatica等。更有甚者,说是泄露了NASA的好几百人的邮箱。
https://gbhackers.com/jira-servers-data-leak/
https://medium.com/@logicbomb_1/one-misconfig-jira-to-leak-them-all-including-nasa-and-hundreds-of-fortune-500-companies-a70957ef03c7
https://www.reddit.com/r/netsec/comments/clcqu2/misconfigured_jira_instances_exposed_data_of/
原因在于:
The misconfiguration issue is because of the wrong permission assigned while creating the filters and dashboards, while creating new filter or dashboards by default the visibility set to all users and everyone, instead of sharing everyone within the organization.
If the permission set to everyone, then anyone can access the sensitive data by just having the URL and also being indexed by search engines. The leak exposes following sensitive details.
误配置的问题的原因是,在创建filters和dashboards时分配了错误的权限。然后,再创建新的filters和dashboards时,默认可见范围是所有用户和每个人,而不是把organization分享给每个人。
如果权限设置为每个人,那么任何知道这个URL的人就可以访问到敏感信息。另外,这个…
我就不翻译了,脉脉上有一篇翻译的挺好:
在 JIRA 中创建过滤器或仪表板时,它提供了一些可见性选项。问题是由于分配给它们的权限错误。当在JIRA中创建项目/问题的过滤器和仪表板时,默认情况下,可见性分别设置为“所有用户”和“所有人”,而不是与组织中的每个人共享,所以这些信息被完全公开了。JIRA 中还有一个用户选择器功能,它提供了每个用户的用户名和电子邮件地址的完整列表。此信息泄露是 JIRA 全局权限设置中授权配置错误的结果。
https://maimai.cn/article/detail?fid=1306168901&efid=hfzl9tO_Db-weJoPB8aEbA
可以用这个Google Dork去找存在这种问题的公网jira页面:
inurl:/UserPickerBrowser.jspa -intitle:Login -intitle:Log
找几个:
比如这个:
https://issues.library.jhu.edu/secure/popups/UserPickerBrowser.jspa
后来又搜了一下,NASA的jira应该是这几个:
https://pds-jira.jpl.nasa.gov/secure/Dashboard.jspa
https://ehm.jpl.nasa.gov/jira/secure/Dashboard.jspa
本田/Honda的Jira:
https://projects.hondaresearch.com/jira/secure/AboutPage.jspa/secure/AboutPage.jspa
Oracle的Jira?
https://bugs.openjdk.java.net/secure/Dashboard.jspa
丰田:
https://jira.sdlc.toyota.com/secure/Dashboard.jspa
联想的:
http://tbjira.lenovo.com:8081/issue/secure/Dashboard.jspa
https://jira.xpaas.lenovo.com/secure/Dashboard.jspa
这个把jira的客户说了很多
http://www.fangwai.net/company/customers/
如何修复
其实就是创建过滤器的时候,指定要可见范围: Any logged-in user
。