Mise à jour de sécurité pour YouTrack

Delphine Massenhove

Cette annonce concerne une vulnérabilité de sécurité que nous avons récemment identifiée et corrigée dans YouTrack. Si vous utilisez la version Standalone, la personne responsable de l’administration de YouTrack au sein de votre entreprise doit avoir reçu un e-mail de notre part fin août et la mise à niveau de votre installation YouTrack doit donc déjà avoir été effectuée. Dans ce cas, aucune autre action n’est requise. Si vous êtes un·e client·e YouTrack InCloud, aucune action n’est requise car nous avons fait le nécessaire pour sécuriser votre installation.

Ce qui s’est passé

Le 13 août 2020, nous avons corrigé une vulnérabilité de sécurité dans YouTrack. Cette vulnérabilité permettait à des utilisateurs connectés ou invités de récupérer des descriptions de tickets sans avoir les autorisations requises, via un endpoint d’API REST non documenté. Elle a été détectée dans l’un des plus anciens points de terminaison de notre API REST obsolète et concernait les instances YouTrack à partir de la version 3.3 (publiée le 2 mars 2012) jusqu’à la version 2020.3.4313 (publiée le 13 août 2020).
Le problème avait malheureusement survécu aux audits de sécurité externes et aux audits du code source de YouTrack. Nous pouvons confirmer que cet endpoint n’est jamais apparu dans aucun document public, y compris notre documentation produit.
Un identifiant CVE correspondant est publié ici.

Quelles informations ou donnes ont été concernées ?

Ce problème de sécurité peut avoir affecté les instances YouTrack pour lesquelles :

  • L’accès invité (Guest) était activé.
  • Une personne n’ayant pas toutes les autorisations d’accès était connectée.

Dans ces deux cas, il était possible de récupérer des descriptions de tickets sans avoir les autorisations requises via l’endpoint de l’API REST YouTrack non documenté.

Malheureusement, nous ne disposons pas d’informations permettant de confirmer si l’accès à une instance YouTrack en particulier a été compromis. Toutefois, si l’accès invité était désactivé sur votre instance ou si votre instance YouTrack Standalone n’est pas accessible depuis Internet, soyez assuré·e qu’aucun tiers n’a pu exploiter cette vulnérabilité pour accéder à vos données.

Les mesures que nous avons prises

  1. Nous avons résolu le problème le 13 août 2020 et rétroporté le correctif sur toutes les versions majeures à partir de YouTrack 2019.1, afin que toute version de YouTrack Standalone puisse être mise à jour et bénéficier du correctif. Le même jour, nous avons mis à jour toutes les instances InCloud vers la version disposant du correctif.
  2. Nous avons envoyé un e-mail à tous les personnes responsables de l’administration de YouTrack Standalone pour leur demander d’effectuer la mise à niveau. Aucun détail sur le problème n’a été divulgué à ce stade pour donner aux administrateurs et administratrices le temps de sécuriser leurs données YouTrack.
  3. Nous avons ajouté des tests automatisés pour détecter cette vulnérabilité à chaque modification de la base de code.

Devez-vous prendre des mesures supplémentaires ?

YouTrack Standalone. Si vous administrez YouTrack Standalone et que vous n’avez pas reçu de notification par e-mail, veuillez effectuer la mise à niveau en utilisant les dernières versions des correctifs de bugs disponibles sur notre site pour chaque version de YouTrack à partir de la version 2019.1.

Pour YouTrack InCloud la mise à niveau vers une version corrigée a eu lieu en août. Vous n’avez donc rien d’autre à faire.

Si vous avez des questions ou besoin d’aide, veuillez contacter les ingénieurs de notre service d’assistance.
Veuillez accepter nos plus sincères excuses pour les désagréments que cette situation a pu vous causer.

L’Équipe YouTrack

Auteur de l’article original en anglais : Anastasia Bartasheva

S'abonner

S'abonner aux mises à jour