![\"\"](\"https:\/\/blog.jetbrains.com\/wp-content\/uploads\/2020\/09\/English-copy.png\")
<\/p>\n<\/p>\n
Cette annonce concerne une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 que nous avons r\u00e9cemment identifi\u00e9e et corrig\u00e9e dans YouTrack. Si vous utilisez la version Standalone, la personne responsable de l’administration de YouTrack au sein de votre entreprise doit avoir re\u00e7u un e-mail de notre part fin ao\u00fbt et la mise \u00e0 niveau de votre installation YouTrack doit donc d\u00e9j\u00e0 avoir \u00e9t\u00e9 effectu\u00e9e. Dans ce cas, aucune autre action n’est requise. Si vous \u00eates un\u00b7e client\u00b7e YouTrack InCloud, aucune action n’est requise car nous avons fait le n\u00e9cessaire pour s\u00e9curiser votre installation.<\/p>\n
<\/span><\/p>\n Le 13 ao\u00fbt 2020, nous avons corrig\u00e9 une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 dans YouTrack. Cette vuln\u00e9rabilit\u00e9 permettait \u00e0 des utilisateurs connect\u00e9s ou invit\u00e9s de r\u00e9cup\u00e9rer des descriptions de tickets sans avoir les autorisations requises, via un endpoint d’API REST non document\u00e9. Elle a \u00e9t\u00e9 d\u00e9tect\u00e9e dans l’un des plus anciens points de terminaison de notre API REST obsol\u00e8te et concernait les instances YouTrack \u00e0 partir de la version 3.3 (publi\u00e9e le 2 mars 2012) jusqu’\u00e0 la version 2020.3.4313 (publi\u00e9e le 13 ao\u00fbt 2020). Ce probl\u00e8me de s\u00e9curit\u00e9 peut avoir affect\u00e9 les instances YouTrack pour lesquelles\u00a0:<\/p>\n Dans ces deux cas, il \u00e9tait possible de r\u00e9cup\u00e9rer des descriptions de tickets sans avoir les autorisations requises via l’endpoint de l’API REST YouTrack non document\u00e9.<\/p>\n Malheureusement, nous ne disposons pas d’informations permettant de confirmer si l’acc\u00e8s \u00e0 une instance YouTrack en particulier a \u00e9t\u00e9 compromis. Toutefois, si l’acc\u00e8s invit\u00e9 \u00e9tait d\u00e9sactiv\u00e9 sur votre instance ou si votre instance YouTrack Standalone n’est pas accessible depuis Internet, soyez assur\u00e9\u00b7e qu’aucun tiers n’a pu exploiter cette vuln\u00e9rabilit\u00e9 pour acc\u00e9der \u00e0 vos donn\u00e9es. <\/p>\n YouTrack Standalone.<\/strong> Si vous administrez YouTrack Standalone et que vous n’avez pas re\u00e7u de notification par e-mail, veuillez effectuer la mise \u00e0 niveau en utilisant les derni\u00e8res versions des correctifs de bugs disponibles sur notre site<\/a> pour chaque version de YouTrack \u00e0 partir de la version\u00a02019.1.<\/p>\n Pour YouTrack InCloud<\/strong> la mise \u00e0 niveau vers une version corrig\u00e9e a eu lieu en ao\u00fbt. Vous n’avez donc rien d’autre \u00e0 faire.<\/p>\n Si vous avez des questions ou besoin d’aide, veuillez contacter les ing\u00e9nieurs de notre service d’assistance<\/a>. L’\u00c9quipe YouTrack<\/p>\nCe qui s’est pass\u00e9<\/h2>\n
Le probl\u00e8me avait malheureusement surv\u00e9cu aux audits de s\u00e9curit\u00e9 externes et aux audits du code source de YouTrack. Nous pouvons confirmer que cet endpoint n’est jamais apparu dans aucun document public, y compris notre documentation produit.
\nUn identifiant CVE correspondant est publi\u00e9 ici<\/a>.<\/p>\nQuelles informations ou donnes ont \u00e9t\u00e9 concern\u00e9es ?<\/h2>\n
\n
Les mesures que nous avons prises<\/h2>\n
\n
Devez-vous prendre des mesures suppl\u00e9mentaires\u00a0?<\/h2>\n
\nVeuillez accepter nos plus sinc\u00e8res excuses pour les d\u00e9sagr\u00e9ments que cette situation a pu vous causer.<\/p>\n