Jira Service Management Server和Data Center身份认证绕过漏洞

最新推荐文章于 2024-08-15 09:23:50 发布
最新推荐文章于 2024-08-15 09:23:50 发布
阅读量142 收藏
点赞数
分类专栏: 漏洞通告 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52834323/article/details/129074349
版权

       2023年2月,Atlassian发布安全更新,修复了Jira Service Management Server和Data Center中的一个身份验证漏洞(CVE-2023-22501)。当Jira Service Management实例启用对用户目录和传出电子邮件的写访问权限时,攻击者可获取未登录过的注册账户令牌,从而导致攻击者在某些情况下冒充另一个用户,并获得对Jira Service Management实例的访问权限

 Jira Service Management(JSMs)Server和Jira Service Management(JSMs)Data Center基于Jira平台,是Atlassian提供的IT服务管理解决方案的两种版本。Jira ServiceManagement(JSMs)Server是单一实例版本,适用于小型团队和部门。Jira Service Management(JSMs)Data Center是高可用性,高扩展性的版本,适用于大型企业,提供了集群、负载均衡等高级功能。

对此,目前厂商已发布安全版本。鉴于该漏洞受影响面较大,建议使用Jira Service Management Server和Data Center的用户及时关注官方更新,参照官方修复方案尽快采取相关措施,做好资产自查以及预防工作,以免遭受黑客攻击。

漏洞编号:

CVE-2023-22501

漏洞等级:

CVSS3.1 9.4

漏洞状态:

漏洞细节

漏洞PoC

漏洞EXP

在野利用

未公开

暂无

暂无

未发现

受影响的版本:

5.3.0 <= Jira Service Management Server/Data Center <= 5.3.2

5.4.0 <= Jira Service Management Server/Data Center <= 5.4.1

Jira Service Management Server/Data Center == 5.5.0

注:Atlassian Cloud站点不受影响,如果您的Jira站点是通过atlassian.net域访问的,则它由Atlassian托管,不会受到该漏洞的影响。

修复建议:

· 官方措施

目前Atlassian官方已发布安全版本,建议受影响用户尽快下载安装:

Jira Service Management 下载 | Atlassian

· 临时缓解措施

如果无法立即升级Jira Service Management,可以选择手动升级特定于版本的servicedesk-variable-substitution-plugin JAR 文件作为临时解决方法。

1. Jira Service Management 5.5.0:https://confluence.atlassian.com/jira/files/1188786458/1206784728/1/1674516535669/servicedesk-variable-substitution-plugin-5.5.1-REL-0005.jar

2. Jira Service Management 5.4.0, 5.4.1:https://confluence.atlassian.com/jira/files/1188786458/1206784727/1/1674516523541/servicedesk-variable-substitution-plugin-5.4.2-REL-0005.jar

3. Jira Service Management 5.3.0, 5.3.1, 5.3.2:https://confluence.atlassian.com/jira/files/1188786458/1206784726/1/1674516479803/servicedesk-variable-substitution-plugin-5.3.3-REL-0001.jar

更新servicedesk-variable-substitution-plugin JAR文件:

1. 从上表下载版本特定的JAR文件

2. 停止Jira

3. 将JAR文件复制到Jira主目录中

· Server:<Jira_Home>/plugins/installed-plugins

· Data Center:<Jira_Shared>/plugins/installed-plugins

4. 启动Jira

参考链接:

· Jira Service Management Server and Data Center Advisory (CVE-2023-22501) | Atlassian Support | Atlassian Documentation

· Jira Service Management 下载 | Atlassian

勉强维持生活
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解锁高速 IT 团队利器:Jira Service Management
Atlassian速递
12-03 366
在当今世界,客户对服务的期望和需求都很高,IT 团队需要快速地提供出色的服务。企业需要一个灵活的、协作的 ITSM 解决方案,并且可以根据需要进行扩展。通过 Jira Service Management,世界各地的 IT 团队正在以更少的复杂性和更低的成本加速服务交付。无论您是刚刚开始在您的组织中实施 ITSM,还是您正在寻找更好的解决方案,以下是 Jira Service Management 适合您的原因: 一个统一开发、运营和支持的平台 Jira Service Management 是运行在
Jira 放弃了 Server,你也应该放弃 Jira
Agilean 的博客
11-16 1723
前段时间, Atlassian 发布消息称,其将于明年 2 月,停止销售新的 Jira Server 版本产品许可证,并于 2024 年 2 月,停止对这部分用户的支持(下图):图片来自...
JIRA作为服务运行
weixin_34306593的博客
11-23 139
Installing JIRA as a Service For long-term use, the app server hosting JIRA should be configured to survive server restarts. For Windows servers, this means configuring the app server to run as a ser...
现代IT服务与企业服务管理:借助Jira Service Management实现团队互联,打造高效透明的服务体验
weixin_49715102的博客
05-10 172
为了给客户和员工提供一流的体验,企业必须提供响应迅速、易于使用的内部和外部服务。提供快速无缝的服务体验需要自动化和端到端的可见性。IT服务管理(ITSM)工具可以实现对IT服务交付的无缝且全面的管理,帮助企业实现这些目标。现代的ITSM解决方案涵盖了所有的IT服务,包括请求、变更、事件、知识和资产管理。
Jira Service Management ServerData Center身份认证绕过漏洞CVE-2023-22501
鸭梨山大。
02-08 533
Jira Service Management(JSMs)ServerJira Service Management(JSMs)Data Center基于Jira平台,是Atlassian提供的IT服务管理解决方案的两种版本。当Jira Service Management实例启用对用户目录和传出电子邮件的写访问权限时,攻击者可获取未登录过的注册账户令牌,从而导致攻击者在某些情况下冒充另一个用户,并获得对Jira Service Management实例的访问权限。对此,目前厂商已发布安全版本。
docker-atlassian-jira-data-center:Dockerized Atlassian Jira数据中心,用于插件开发期间的本地测试
05-08
Docker Atlassian Jira数据中心 使用Docker启动,以在插件开发期间进行本地测试。 它启动一个PostgreSQL数据库,几个Jira群集节点和Apache2 HTTPD作为粘性会话负载平衡器。 共享的jira-home通过共享的Docker卷处理...
jira-sync:JIRA ServiceDesk和JIRA CoreSoftware-两个JIRA实例的同步工具
02-05
JIRA分为多个版本,包括JIRA Core(核心版)和JIRA ServiceDesk(服务台版)。JIRA Core专注于项目管理,而JIRA ServiceDesk则专门用于提供客户支持和服务请求管理。在某些情况下,组织可能同时使用这两个版本,这就...
JIRA Service Desk Comment Button Switcher-crx插件
03-23
一个为JIRA Service Desk提供自定义注释按钮“内部注释”和“与客户共享”的插件,是的,无法自定义JIRA Service Desk上的这两个按钮,但是有了此插件,您可以。 自行决定切换按钮的位置或完全隐藏“与客户共享”...
cures-condec-jira:用于捕获和探索决策知识的 Jira 插件
08-04
该插件支持用于决策知识的四个文档位置:具有不同类型的整个 Jira 问题、注释和现有 Jira 问题的描述、提交消息和代码注释。 安装 先决条件 从源代码编译插件需要以下先决条件: Java 11 JDK 通过终端编译 源...
JIRA Core、JIRA Software、JIRA Service Desk的区别
热门推荐
Jira精细化管理
10-06 1万+
Jira7.X,Atlassian将根据特定的JIRA应用场景,将原来的JIRA分为了三个不同的版本 1. JIRA Core 2. JIRA Software 3. JIRA Service Desk 大家选择应该使用哪一个版本呢,在这里向大家对这三个版本的应用场景和相关特性进行说明。
Jira Service Desk使用教程(九):服务台代理的入门
yuyuyuyo的博客
08-19 2151
JIRA Servcie Desk是一款服务台管理软件,它能够为你的客户提供简单直观的用户体验,并集成了强大的SLA支持、可自定义的服务队列、自动化的请求管理以及实时的报表。 本教程将会介绍服务台代理的入门知识,主要介绍如何使用项目侧边栏实现在您的服务台项目导航。 您可以使用项目侧栏浏览服务台,这样可以快速访问主服务台的功能。 项目侧栏上的主要选项包括:...
认识 Atlassian Datacenter 产品
jamesxu354的博客
11-25 1741
欢迎使用Markdownds编辑器写博test客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 **代码块高亮**as 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体
Jira停售后,你决定赌Atlassian Data Center
柚橙论
11-16 441
随着Atlassian Server产品做出服务调整(停止销售新的本地化部署服务许可证,并停止对本地化部署产品的新功能开发),可能有大批国内Server的用户就要被逼着去选择Atlassians Data Center。毕竟,这样他们可以将这些年使用积累下来的庞大数据资产保留在Server平台上。而且,与迁移到另一个平台相比,迁移成本要小很多。从使用的角度来说,员工也无需花费较多的时间精力去适应新工具。  虽然罗列了这么多的好处在这,但我们仍然觉得这不是最好的选择,让我们来解释一下为什么。 Server
安全工具推荐-Search_Viewer资产测绘】
qq_55213436的博客
08-14 119
Search_Viewer,集Fofa、Hunter鹰图、Shodan、360 quake、Zoomeye 钟馗之眼、censys 为一体的空间测绘gui图形界面化工具,支持一键采集爬取和导出fofa、shodan等数据,方便快捷查看。包含语法帮助手册,忘记查询语法也能方便查看语法,渗透不二之选。
等保测评中的安全需求分析:构建精准的信息安全防护体系
最新发布
w13359990065的博客
08-15 473
在实施数字化转型的过程中,企业应将安全需求分析视为持续优化安全防护体系的关键环节,通过跨部门合作、员工培训、技术应用等策略,不断调整和优化安全需求,为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导,实施了详细的安全需求分析,识别了其关键业务功能和信息资产,包括客户数据、交易系统等,基于风险评估的结果,制定了针对性的安全控制措施,如多因素认证、数据加密、网络隔离等,有效提升了信息安全防护水平。实施安全需求分析的过程中,企业可能面临一些挑战,如技术更新快、业务需求变化频繁、安全资源有限等。
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
Future_2024的博客
08-13 555
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
ctf 堆栈结构
qq_69100706的博客
08-12 357
CTF(Capture The Flag)竞赛中,理解堆栈结构对于解决涉及二进制分析、逆向工程和利用开发的挑战至关重要。堆栈是在程序执行过程中用于临时存储数据和管理函数调用的关键数据结构。
Scout Suite:开源云安全审计工具
网络研究观
08-12 282
Scout Suite 是一个开源、多云安全审计工具,旨在评估云环境的安全态势。
同态加密和SEAL库的介绍(十)CKKS 参数心得 2
WaitMrAnt的博客
08-12 714
本篇继续上篇针对 CKKS 方案的测试,首先证明了重新线性化虽然会减少密文长度,但是并不会对计算结果的精度有明显的影响;模数链的长度确实会限制乘法深度(具体来说是 Rescale 次数),这点上密文乘法和明文乘法相同;上篇中证明了增加 scale 会提高精度,本篇也证明了增长模数链也能增加精度,但是内存测试后,前者 scale 不会提高内存,后者会增加内存成本和时间成本。
jira data center
08-18
Jira Data Center是一款强大的企业工作管理工具,它提供了多种功能,包括需求和测试用例管理以及敏捷软件开发。它的目标是帮助团队高效地推进工作。通过使用Jira Data Center的高级路线图功能,团队可以更进一步推动工作的发展。 Jira Data Center还提供了一个业务价值计算器,可以帮助您更好地量化Jira Data Center的价值并了解它为组织节省的时间、金钱和精力。您可以通过访问Data Center业务价值计算器网页来使用它。 除了保持团队和组织的同步外,Jira Data Center的高级路线图功能还意味着您无需担心更新。此外,Jira Data Center可以与Jira Cloud Premium和Enterprise结合使用,使运行混合模式的组织受益。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Jira Software Data Center 可以免费使用高级路线图啦!](https://blog.csdn.net/janelyzh/article/details/114124389)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值