YouTrack-Sicherheitsupdate

Sergiy Rogalin

In dieser Ankündigung geht es um eine Sicherheitslücke, die wir kürzlich in YouTrack gefunden und behoben haben. Bitte beachten Sie, wenn Sie ein kommerzieller YouTrack Standalone-Kunde sind, sollte Ihr Administrator Ende August eine E-Mail von uns erhalten haben und hatte vor dieser öffentlichen Ankündigung Zeit, Ihre YouTrack-Installation auf eine korrigierte Version zu aktualisieren. Wenn Sie diese E-Mail bereits erhalten und darauf reagiert haben, sind keine weiteren Maßnahmen erforderlich. Wenn Sie ein YouTrack InCloud-Kunde sind, können Sie beruhigt sein, dass wir bereits alle notwendigen Schritte zur Sicherung Ihrer Installation unternommen haben.

Was ist passiert?

Am 13. August 2020 haben wir eine Sicherheitslücke in YouTrack behoben. Das Sicherheitsrisiko ermöglichte es angemeldeten Benutzern oder Gastbenutzern, Ticketbeschreibungen ohne die erforderlichen Zugriffsberechtigungen über einen undokumentierten REST-API-Endpunkt abzurufen. Diese Sicherheitslücke betraf YouTrack-Instanzen ab Version 3.3 (veröffentlicht am 2. März 2012) bis zur Version 2020.3.4313 (veröffentlicht am 13. August 2020), als das Problem behoben wurde.
Das Sicherheitslücke wurde in einem der ältesten Endpunkte unserer veralteten REST-API gefunden. Das Problem hatte leider durch sowohl externe Sicherheitsaudits als auch YouTrack-Quellcode-Audits geschlüpft. Wir können bestätigen, dass dieser Endpunkt in keinem öffentlichen Material, einschließlich unserer Produktdokumentation, aufgetaucht ist.
Ein entsprechendes CVE wird hier veröffentlicht.

Welche Informationen wurden kompromittiert?

Dieses Sicherheitsproblem hätte YouTrack-Instanzen betreffen können, bei denen einer der folgenden Punkte zutraf:

  • Der Gastzugriff wurde aktiviert.
  • Ein Angreifer war eingeloggt.

In diesen Fällen war es dem Angreifer möglich, Beschreibungen von Tickets abzurufen, ohne über Systemberechtigungen zu verfügen, um über den undokumentierten YouTrack REST API-Endpunkt darauf zuzugreifen.

Leider haben wir keine Informationen, die bestätigen könnten, ob der Zugriff auf eine bestimmte YouTrack-Instanz kompromittiert wurde. Wenn Sie jedoch den Gastzugriff auf Ihrer Instanz deaktiviert haben oder Ihr Zugang zu YouTrack Standalone nicht über das Internet verfügbar ist, können Sie sicher sein, dass kein Dritter über die Sicherheitslücke auf Ihre Daten zugreifen konnte.

Welche Maßnahmen haben wir ergriffen?

  1. Wir haben das Problem am 13. August 2020 behoben und den Fix auf alle Hauptversionen ab YouTrack 2019.1 rückportiert, so dass jede Version von YouTrack Standalone auf eine mit dem Fix aktualisiert werden kann. Noch am selben Tag haben wir alle InCloud-Instanzen auf die Version mit dem Fix aktualisiert.
  2. Wir haben eine E-Mail mit einer Handlungsanforderung an alle YouTrack-Standalone-Administratoren gesendet, um sie zum Upgrade aufzufordern. Zu diesem Zeitpunkt wurden keine Details über das Problem bekannt gegeben, um den Administratoren Zeit zu geben, ihre YouTrack-Daten zu sichern.
  3. Wir haben automatische Tests hinzugefügt, um dieses Sicherheitsrisiko zu überprüfen, wenn Änderungen an der Codebasis vorgenommen werden.

Sind von Ihnen irgendwelche Maßnahmen erforderlich?

YouTrack Standalone. Wenn Sie ein Administrator von YouTrack Standalone sind und die E-Mail-Benachrichtigung nicht erhalten haben, verwenden Sie bitte die neuesten Bugfix-Versionen für jede YouTrack-Version ab 2019.1, die auf unserer Website verfügbar sind, um Ihr YouTrack zu aktualisieren.

YouTrack InCloud wurde im August auf eine korrigierte Version aktualisiert. Sie brauchen nichts zu tun.

Wenn Sie weitere Unterstützung benötigen, wenden Sie sich bitte an unsere Support-Techniker oder hinterlassen Sie einfach unten einen Kommentar.
Bitte nehmen Sie unsere Entschuldigung für diese Situation an.

Ihr JetBrains-YouTrack-Team

Abonnieren

Updates abonnieren