Actualización de seguridad de YouTrack

luizdibella

Este es un mensaje acerca de un punto débil de seguridad que encontramos y solucionamos recientemente en YouTrack. Tenga en cuenta que, si es usted un cliente comercial que utiliza un YouTrack Standalone, su administrador debería haber recibido un correo electrónico que enviamos a finales de agosto, y habrá tenido tiempo para actualizar su instalación de YouTrack a una versión solucionada antes de este anuncio público. No tiene que hacer nada más si ya recibió ese mensaje y actuó en consecuencia. Si es cliente de YouTrack InCloud, no dude que ya hemos tomado todas las medidas necesarias para que su instalación sea segura.

¿Qué ha sucedido?

El 13 de agosto de 2020 solucionamos un punto vulnerable de seguridad de YouTrack. Este punto vulnerable permitía que los usuarios que habían iniciado sesión o los invitados pudieran acceder a descripciones de incidencias sin tener los permisos de acceso necesarios, a través de un endpoint de API REST no documentado. Este punto vulnerable en la seguridad afectaba a instancias de YouTrack desde la versión 3.3 (lanzada el 2 de marzo de 2012) hasta la 2020.3.4313 (lanzada el 13 de agosto de 2020), cuando la incidencia se solucionó.
El punto vulnerable se encontró en uno de los endpoints más antiguos de nuestra API REST obsoleta. Desafortunadamente, la incidencia había pasado desapercibida tanto en las auditorías de seguridad externas como en las auditorías de código fuente de YouTrack. Podemos confirmar que este endpoint nunca ha aparecido en ningún material público, incluida nuestra documentación sobre el producto.
Se ha publicado la lista de CVE correspondiente aquí.

¿Qué información se ha visto expuesta?

Este problema de seguridad podría haber afectado a instancias de YouTrack en las que se cumpliese una de las siguientes condiciones:

  • El acceso a invitados (Guest) estaba habilitado.
  • Había iniciado sesión un atacante.

En estos casos, el atacante podía acceder a descripciones de incidencias sin tener permisos del sistema para acceder a ellas, utilizando el endpoint no documentado de la API REST de YouTrack.

Desafortunadamente, no tenemos información que confirme si ha quedado expuesto el acceso a una instancia en particular de YouTrack. Sin embargo, si tiene el acceso de invitados deshabilitado en su instancia, o si su YouTrack Standalone no está disponible desde Internet, no dude que ningún tercero habrá podido acceder a sus datos debido a este punto vulnerable.

¿Qué medidas hemos tomado?

  1. Solucionamos el problema el 13 de agosto de 2020, y trasladamos la solución a todas las versiones importantes a partir de YouTrack 2019.1, de modo que cualquier YouTrack Standalone puede actualizarse a una versión solucionada. El mismo día actualizamos todas las instancias de InCloud a la versión arreglada.
  2. Hemos enviado un correo electrónico a todos los administradores de YouTrack Standalone para pedirles que actualicen. En ese momento no se facilitaron datos acerca del problemas para darles tiempo a los administradores a garantizar la seguridad de sus datos de YouTrack.
  3. Hemos añadido pruebas automatizadas para comprobar si este punto vulnerable vuelve a aparecer cuando se introducen cambios en la base de código.

¿Tiene que hacer algo?

YouTrack Standalone. Si es usted administrador de YouTrack Standalone y no recibió la notificación por correo electrónico, utilice las últimas versiones con errores resueltos para cada versión de YouTrack a partir de la 2019.1, disponible en nuestra web, para actualizar su YouTrack.

YouTrack InCloud se actualizó en agosto a la versión con los problemas resueltos. No tiene que hacer nada.

Si necesita ayuda, no dude en ponerse en contacto con nuestros técnicos de soporte o simplemente deje un comentario a continuación.
Por favor, acepte nuestras más sinceras disculpas por esta situación.

El equipo de YouTrack de JetBrains

Suscríbase

Suscríbase a las actualizaciones