开源组件 Ehcache中被曝严重漏洞,影响多款Jira产品

最新推荐文章于 2024-04-17 06:27:43 发布
最新推荐文章于 2024-04-17 06:27:43 发布
阅读量816 收藏
点赞数
文章标签: 安全 rpc 编程语言 zookeeper shiro
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

Atlassian 公司督促企业客户修复其 Jira Data Center 和 Jira Service Management Data Center 产品很多版本中的一个严重漏洞 (CVE-2020-36239)。

由于 Jira 在开源组件 Ehcache 实现中存在一个认证缺失缺陷,因此该漏洞可使远程攻击者获得任意代码执行能力。

认证缺失引发的严重远程代码执行

昨天,Atlassian 公司披露了其 Jira Data Center 产品中的严重漏洞(CVE-2020-36239),可导致远程未认证攻击者在某些 Jira Data Center 产品中执行任意代码。该公司要求企业客户尽快升级实例,修复该漏洞。

该漏洞是因为对 Ehcache RMI 端口缺乏认证或对其访问权限不受限制造成的。Ehcache 是 Java 应用广泛使用的用于增强性能和可扩展性的开源缓存。RMI 即“远程方法调用”,它是 Java 中的一个概念,类似于 OOP 语言中的远程程序调用 (RPC)。RMI 可使程序员在运行本地方法或程序时,直接从应用中调用远程对象中的方法,如在共享网络运行的应用内的方法。程序员无需担心实现底层网络功能即可完成,而这就是 RMI APIs 的方便之处。

在这种上下文中,如下所列的多种 Jira 产品暴露在端口40001以及可能在40011上的 Ehcache RMI 网络服务。远程攻击者可在无需任何认证的情况下连接到这些端口,并通过对象反序列化在 Jira 中执行任意代码。受影响产品包括:

  • Jira Data Center

  • Jira Core Data Center

  • Jira Software Data Center

  • Jira Service Management Data Center

该漏洞由 Harrison Neal 发现并报告。

受影响版本和缓解指南

该漏洞影响的 Jira 产品版本如下:

  • Jira Data Center、Jira Core Data Center和Jira Software Data Center

  • 6.3.0 <= 版本 < 8.5.16

  • 8.6.0 <= 版本 < 8.13.8

  • 8.14.0 <= 版本< 8.17.0

  • Jira Service Management Data Center

  • 2.0.2 <= version < 4.5.16

  • 4.6.0 <= version < 4.13.8

  • 4.14.0 <= version < 4.17.0

  • Jira Data Center、Jira Core Data Center 和Jira Software Data Center

  • 6.3.x, 6.4.x 所有版本

  • 7.0.x、7.1.x、7.2.x、7.3.x、7.4.x、7.5.x、7.6.x、7.7.x、7.8.x、7.9.x、7.10.x、7.11.x、7.12.x和7.13.x所有版本

  • 8.0.x、8.1.x、8.2.x、8.3.x和8.4.x 所有版本

  • 低于8.5.16的所有8.5.x版本

  • 8.6.x、8.7.x、8.8.x、8.9.x、8.10.x、8.11.x和8.12.x所有版本

  • 低于8.13.8的所有8.13.x版本

  • 8.14.x、8.15.x和8.16.x 版本

  • Jira Service Management Data Center

  • 高于2.0.2的所有2.x.x版本

  • 3.x.x 所有版本

  • 4.0.x、4.1.x、4.2.x、4.3.x和4.4.x 所有版本

  • 低于4.5.16的4.5.x所有版本

  • 4.6.x、4.7.x、4.8.x、4.9.x、4.10.x、4.11.x和4.12.x 所有版本

  • 低于4.13.8的4.13.x所有版本

  • 4.14.x、4.15.x, 和4.16.x 所有版本

幸运的是,该漏洞并不影响Jira Server 的非数据中心实例(如 Core & Software)、Jira Service Management、Jira Cloud 和 Jira Service Management Cloud。

Jira Data Center 产品用户应升级至如下版本以修复该漏洞:

  • Jira Data Center、Jira Core Data Center和 Jira Software Data Center 用户:升级至8.5.16、8.13.8,或 8.17.0。

  • Jira Service Management Data Center 用户:升级至4.5.16、4.13.8或4.17.0。

无法升级实例的,可参照安全公告中提供的缓解措施。

Atlassian 公司建议客户升级至产品的最新版本,并限制对 Ehcache RMI 端口的访问权限。

用户应使用防火墙或类似技术保护 Ehcache RMI 端口40001和40011,仅有 Jira Data Center、Jira Core Data Center、Jira Software Data Center 以及 Jira Service Management Data Center 的集群实例可访问。

Atlassian 公司发布安全公告指出,“虽然 Atlassian 强烈建议仅允许 Data Center 实例访问 Ehcache 端口,但已修复的 Jira 版本要求共享机密以便访问 Ehcache服务。”

推荐阅读

Jira Server 和 Service Desk 修复多个严重漏洞

Jira Server 和 Data Center修复严重的模板注入漏洞

大企业都在用的开源 ForgeRock OpenAM 被曝预认证 RCE 0day

钱少事多,开源项目维护人员几乎集体出走

在线阅读版:《2021中国软件供应链安全分析报告》全文

原文链接

https://www.bleepingcomputer.com/news/security/atlassian-asks-customers-to-patch-critical-jira-vulnerability/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ehcache 3(ehcache-3.8.1.jar)
01-13
ehcache-3.8.1.jar
加入ehcache后,系统出现内存泄漏,解决办法
lgxzzz的博客
03-19 808
最近在系统,加入缓存ehcache,但发现,每隔一天,服务器就会报出内存溢出。 问题严重,后来在网上查资料发现,一篇解释的网文: spring的提供了一个名为org.springframework.web.util.IntrospectorCleanupListener的监听器。它主要负责 处理由 JavaBeans Introspector的使用而引起的缓冲泄露。spring对它的描述如下: 它是一个在web应用关闭的时候,清除JavaBeans Introsp
shiro整合SSM使用ehcache出现的net.sf.ehcache.CacheException异常解决办法
qq_47768542的博客
08-26 1154
异常关键字 nested exception is org.apache.shiro.cache.CacheException: net.sf.ehcache.CacheException: java.lang.NoClassDefFoundError: org/terracotta/statistics/StatisticsManager 原因 出现这个异常是因为我导的包是 ehcache-core-2.10.6.jar 解决 很简单,主要问题是导错包了,应该导入 ehcache-2.10.6.jar
mysql ehcache_项目使用ehcache遇到的问题
weixin_31421601的博客
02-07 363
背景最近在做业务逻辑重构,pc、app等有类似的逻辑都写在了web层,导致新增各端保持一致的需求需要更改各自站点,增加了开发成本和维护成本,所以需要把通用逻辑抽离到业务逻辑层,web层通过rpc调用实现解耦。问题现象抽离出来的服务上线两周必现调用方超时,服务内部逻辑处理时间急剧增加,等待处理的请求等待时间急剧增加。如下图image.png正常处理时间在100ms左右。查看日志,只能看到框架组件报待...
【踩坑记录】使用ehcache缓存@Cacheable注解不生效的问题
名侦探张六儿的博客
03-28 5539
遇到的问题为:给某个查询方法添加了@Cacheable注解,Junit测试通过,查询方法执行多次时只有第一次执行方法体,之后调用方法查询缓存,不进入方法体;但是在Controller内调用的时候多次调用发现每次都进入方法体,不走缓存。 查网上的解决办法大多为以下两种: 1、由于@Cacheable基于SpringAOP的动态代理机制,程序执行时会在代理的方法前做缓存处理,但是如果一个类(比如一...
ehcache-3.8.1.jar文-英文对照文档.zip
03-04
注:下文的 *** 代表文件名组件名称。 # 包含: 文-英文对照文档:【***-javadoc-API文档-文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【*...
ehcache-3.3.1.jar文-英文对照文档.zip
03-07
注:下文的 *** 代表文件名组件名称。 # 包含: 文-英文对照文档:【***-javadoc-API文档-文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【*...
SpringBoot2 整合Ehcache组件,轻量级缓存管理的原理解析
08-18
二级缓存:是SessionFactory对象缓存,可以被创建出的多个Session对象共享,二级缓存默认是关闭的,如果要使用需要手动开启,并且依赖EhCache组件。 三级缓存:查询缓存,配置开启该缓存的情况下,重复使用一个sql...
ehcache-2.10.0.jar文-英文对照文档.zip
03-06
注:下文的 *** 代表文件名组件名称。 # 包含: 文-英文对照文档:【***-javadoc-API文档-文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【*...
ehcache-3.9.8.jar文-英文对照文档.zip
03-03
注:下文的 *** 代表文件名组件名称。 # 包含: 文-英文对照文档:【***-javadoc-API文档-文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【*...
面试官:谈关于缓存穿透+击穿+雪崩,热点数据失效问题的解决方案
the shy
03-06 139
缓存穿透是指查询一个一定不存在的数据,由于缓存是不命时被动写的,并且出于容错考虑,如果从存储层查不到数据则不写入缓存,这将导致这个不存在的数据每次请求都要到存储层去查询,失去了缓存的意义。在流量大时,可能DB就挂掉了,要是有人利用不存在的key频繁攻击我们的应用,这就是漏洞。缓存击穿是我们使用缓存可能遇到的第二个问题。在平时高并发的系统,大量的请求同时查询一个key时,此时这个key正好失效了,就会导致大量的请求都打到数据库上面去,这种现象我们称为缓存击穿。
shiro低版本的漏洞通过升级shiro版本解决
会写Bug的攻城狮
04-05 1922
攻击者大量使用了shiro漏洞的攻击,为了找到这些最新的包,花费了一天时间来查找,终于在一位网友的提示下找到了它们的窝:(CSDN的好多用户都是上传到博客,但一下载就收费,感觉很不好)由于版本升级附带了一些其它功能,还需要以下两个jar包:(都可以从上面的库查找到)出现的问题:shiro1.3升级1.7遇到重定向登录页面时报400错误。关于应该升级哪些东西,经过测试有以下内容:(以升级到1.7版本为例)将低版本升级到高版本1.7.0---->1.9.1。下载地址:(Maven库)
com.fasterxml.jackson.core:jackson-databind漏洞2.9.10.3版本以前的问题分析
OuNuo5280的博客
04-24 7078
1. 漏洞描述 近日,在github上的项目自检过程发现jackson-databind2.9.10.3版本以前的漏洞 高危漏洞: .FasterXML jackson-databind 2.0.0到2.9.10.2缺少某些xbean-reflect / JNDI阻止,如org.apache.xbean.propertyeditor.JndiConverter所示。 .2.9.10.2之前的...
简单说说JAVA内存泄漏
好看的博客
02-12 777
大量对象占用JVM内存,并且垃圾回收无法回收,这就出现了内存泄漏 打个比方一般电商架构可能会使用多级缓存架构,就是redis加上JVM级缓存,有的可能为了图方便对于JVM级缓存就简单使用一个hashmap,于是不断往里面放缓存数据,但是很少考虑这个map的容量问题,结果这个缓存map越来越大,一直占用着老年代的很多空间,时间长了就会导致fullgc非常频繁,这就是一种内存泄漏,对于一些老旧数据没有及时清理导致一直占用着宝贵的内存资源,时间长了除了导致full gc,还有可能导致OOM。这种情况完全可以考虑
Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)_cve-2024-2828
最新发布
m0_62261166的博客
04-17 844
建议受影响的用户升级Apache Commons FileUpload到 1.5 或更高版本,参考链接:https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi。最近遍览了各种网络安全类的文章,内容参差不齐,其不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)
Gblfy_Blog
11-05 2631
反序列化漏洞
Fastjson各版本漏洞分析(下)
xxwn200301的博客
04-12 1426
1.2.44对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String,>, int)成功拦截分析一下,发现如果开头是[就直接抛出异常那再看看1.2.41里面的绕法呢,前面加个L,后面加个;,发现会检查结尾是否为;,是的话也抛出异常。
Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞【原理扫描】
Gblfy_Blog
12-06 4262
文章目录一、分析定位1. 漏洞描述2. 项目引发漏洞简述二、解决方案2.1. 若依系统2.2. Gus系统 一、分析定位 1. 漏洞描述 目前厂商已经发布了新版本修复这个安全问题,请到厂商的主页下载: https://issues.apache.org/jira/browse/SHIRO-550 https://shiro.apache.org/download.html 2. 项目引发漏洞简述 若依/Guns管理系统使用了Apache ShiroShiro 提供了记住我(RememberM
ehcache 内存泄漏
寻梦的赶路人
12-29 4044
 解决办法,就是在web.xml加入: org.springframework.web.util.IntrospectorCleanupListener Introspector 缓存清除监听器 Spring还提供了一个名为 org.springframework.web.util.Int
EhCache 2.1 文实战:页面缓存与集群配置教程
EhCache 2.1 是一个高性能、开源的Java内存缓存框架,用于在应用程序之间共享数据,提高系统性能和响应速度。这份文文档详细介绍了如何在Java应用集成和配置EhCache,特别是针对页面缓存和分布式缓存集群的设计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值