Atlassian ha publicado parches de seguridad para abordar una vulnerabilidad crítica con identificador CVE-2020-36239 que afecta múltiples versiones de sus productos Jira Data Center y Jira Service Management Data Center.
La vulnerabilidad puede brindar a los atacantes remotos capacidades de ejecución de código arbitrario, debido a una falla de autenticación faltante en la implementación de Jira de Ehcache RMI, un componente de código abierto ampliamente utilizado por las aplicaciones Java para mejorar el rendimiento y la escalabilidad.
RMI se refiere a la invocación de métodos remotos, un concepto en Java similar a las llamadas a procedimientos remotos (RPC) en los lenguajes de programación orientada a objetos. RMI permite a los programadores invocar métodos presentes en objetos remotos, como los presentes dentro de una aplicación que se ejecuta en una red compartida, directamente desde su aplicación, tal como ejecutarían un método o procedimiento local.
Las versiones de productos Jira afectadas por esta vulnerabilidad son:
- Jira Data Center, Jira Core Data Center y Jira Software Data Center:
- 6.3.0 <= Versión < 8.5.16
- 8.6.0 <= Versión < 8.13.8
- 8.14.0 <= Versión < 8.17.0
- Jira Service Management Data Center:
- 2.0.2 <= Versión < 4.5.16
- 4.6.0 <= Versión < 4.13.8
- 4.14.0 <= Versión < 4.17.0
El fallo de seguridad no afecta las instancias de Jira Server que no son Data Center (es decir, Core & Software), Jira Service Management, Jira Cloud y Jira Service Management Cloud.
Los usuarios del producto Jira Data Center deben actualizar a las siguientes versiones para eliminar esta vulnerabilidad, según la rama de la versión en la que se encuentren:
| Producto | Versión recomendada |
| Jira Data Center Jira Core Data Center Jira Software Data Center | Versión 8.5.16 para 8.5.x LTS Versión 8.13.8 para 8.13.x LTS Versión 8.17.0 |
|---|---|
| Jira Service Management Data Center | Versión 4.5.16 para 4.5.x LTS Versión 4.13.8 para 4.13.x LTS Versión 4.17.0 |
Más información: