YouTrack 보안 업데이트
이 블로그 게시물은 최근 YouTrack에서 발견하고 수정한 보안 취약점에 대한 내용입니다. YouTrack Standalone을 사용 중인 상업용 고객의 관리자는 8월 말에 이메일을 받아 보셨을 것이며, 이 공식 발표가 이전에 YouTrack 설치를 수정된 버전으로 이미 업그레이드를 했을 것으로 생각됩니다. 이 이메일을 수신하고 이미 조치를 취했다면, 더 이상의 추가적인 조치는 필요하지 않습니다. YouTrack InCloud 고객인 경우, 설치를 보호하는 데 필요한 모든 조치를 당사에서 이미 완료했으니 걱정하지 않으셔도 됩니다.
배경
2020년 8월 13일, 당사에서 YouTrack의 보안 취약점을 수정했습니다. 이 취약점으로 인해 로그인한 사용자 또는 게스트 사용자가 문서화되지 않은 REST API 엔드 포인트를 통해 필요한 액세스 권한없이 이슈 내용을 검색할 수 있었습니다. 이 보안 취약점은 버전 3.3(2012년 3월 2일 출시)부터 2020.3.4313 버전(2020년 8월 13일 출시)까지의 YouTrack 인스턴스에 영향을 미쳤습니다.(현재는 문제가 해결 되었습니다)
이 취약점은 더 이상 사용되지 않는 REST API의 가장 오래된 엔드포인트 중 하나에서 발견되었습니다. 이 문제는 안타깝게도 외부 보안 감사와 YouTrack 소스 코드 감사에서 모두 발견되지 못했습니다. 이 엔드포인트는 당사 제품 설명서를 포함해 어떠한 공개 자료에는 나타나지 않았음을 확인 할 수 있습니다.
해당 CVE는 여기에 게시되어 있습니다.
어떤 정보가 위험에 노출되었습니까?
이 보안 문제는 다음 중 하나에 해당하는 YouTrack 인스턴스에 영향을 미쳤을 수 있습니다.
- 게스트 액세스가 활성화되었습니다.
- 공격자가 로그인했습니다.
이러한 경우, 공격자가 문서화되지 않은 YouTrack REST API 엔드 포인트를 사용하여 액세스를 위한 적절한 시스템 권한 없이 이슈 내용을 검색했을 수 있습니다.
안타깝게도, 특정 YouTrack 인스턴스에 대한 무단 액세스가 있었는지 여부를 확인할 수 있는 정보는 없습니다. 그러나 인스턴스에서 게스트 액세스가 비활성화되어 있거나 인터넷에서 YouTrack Standalone 버전을 사용할 수 없는 경우에는 제3자가 취약점을 이용하여 데이터에 액세스할 수 없으니 안심하기 바랍니다.
당사가 취한 조치
- 2020년 8월 13일에 문제를 수정하고 YouTrack 2019.1부터 모든 주요 버전에 수정 사항을 적용하였으므로 모든 YouTrack Standalone을 수정된 버전으로 업데이트할 수 있습니다. 같은 날, 모든 InCloud 인스턴스를 수정된 버전으로 업데이트했습니다.
- 모든 YouTrack Standalone 관리자에게 업그레이드를 요청하는 안내 이메일을 발송했습니다. 당시에는 관리자에게 YouTrack 데이터를 보호할 시간을 주기 위해 문제에 대한 세부 정보를 공개하지 않았습니다.
- 코드 베이스에 변경 사항이 배포될 때마다 이 취약점을 확인하기 위한 자동화된 테스트를 추가했습니다.
고객측에서 필요한 조치가 있습니까?
YouTrack Standalone. YouTrack Standalone의 관리자이면서 이메일 알림을 받지 못했다면 2019.1부터 시작되는 각 YouTrack 버전에 대해 당사 사이트에서 제공하는 최신 버그가 수정된 버전으로 YouTrack을 업그레이드 해주시기 바랍니다.
YouTrack InCloud는 8월에 수정된 버전으로 업그레이드되었습니다. 고객측에서 취해야 할 조치는 없습니다.
추가 지원이 필요하면 당사 지원 엔지니어에게 연락하거나 아래에 댓글을 남겨주세요.
불편을 끼쳐드린 점 진심으로 사과드립니다.
Your JetBrains YouTrack Team
이 게시물은 Anastasia Bartasheva가 작성한 YouTrack Security Update를 번역한 글입니다.
Subscribe to YouTrack Blog updates
