YouTrack 보안 업데이트

Jessie Cho

이 블로그 게시물은 최근 YouTrack에서 발견하고 수정한 보안 취약점에 대한 내용입니다. YouTrack Standalone을 사용 중인 상업용 고객의 관리자는 8월 말에 이메일을 받아 보셨을 것이며, 이 공식 발표가 이전에 YouTrack 설치를 수정된 버전으로 이미 업그레이드를 했을 것으로 생각됩니다. 이 이메일을 수신하고 이미 조치를 취했다면, 더 이상의 추가적인 조치는 필요하지 않습니다. YouTrack InCloud 고객인 경우, 설치를 보호하는 데 필요한 모든 조치를 당사에서 이미 완료했으니 걱정하지 않으셔도 됩니다.

배경

2020년 8월 13일, 당사에서 YouTrack의 보안 취약점을 수정했습니다. 이 취약점으로 인해 로그인한 사용자 또는 게스트 사용자가 문서화되지 않은 REST API 엔드 포인트를 통해 필요한 액세스 권한없이 이슈 내용을 검색할 수 있었습니다. 이 보안 취약점은 버전 3.3(2012년 3월 2일 출시)부터 2020.3.4313 버전(2020년 8월 13일 출시)까지의 YouTrack 인스턴스에 영향을 미쳤습니다.(현재는 문제가 해결 되었습니다)
이 취약점은 더 이상 사용되지 않는 REST API의 가장 오래된 엔드포인트 중 하나에서 발견되었습니다. 이 문제는 안타깝게도 외부 보안 감사와 YouTrack 소스 코드 감사에서 모두 발견되지 못했습니다. 이 엔드포인트는 당사 제품 설명서를 포함해 어떠한 공개 자료에는 나타나지 않았음을 확인 할 수 있습니다.
해당 CVE는 여기에 게시되어 있습니다.

어떤 정보가 위험에 노출되었습니까?

이 보안 문제는 다음 중 하나에 해당하는 YouTrack 인스턴스에 영향을 미쳤을 수 있습니다.

  • 게스트 액세스가 활성화되었습니다.
  • 공격자가 로그인했습니다.

이러한 경우, 공격자가 문서화되지 않은 YouTrack REST API 엔드 포인트를 사용하여 액세스를 위한 적절한 시스템 권한 없이 이슈 내용을 검색했을 수 있습니다.

안타깝게도, 특정 YouTrack 인스턴스에 대한 무단 액세스가 있었는지 여부를 확인할 수 있는 정보는 없습니다. 그러나 인스턴스에서 게스트 액세스가 비활성화되어 있거나 인터넷에서 YouTrack Standalone 버전을 사용할 수 없는 경우에는 제3자가 취약점을 이용하여 데이터에 액세스할 수 없으니 안심하기 바랍니다.

당사가 취한 조치

  1. 2020년 8월 13일에 문제를 수정하고 YouTrack 2019.1부터 모든 주요 버전에 수정 사항을 적용하였으므로 모든 YouTrack Standalone을 수정된 버전으로 업데이트할 수 있습니다. 같은 날, 모든 InCloud 인스턴스를 수정된 버전으로 업데이트했습니다.
  2. 모든 YouTrack Standalone 관리자에게 업그레이드를 요청하는 안내 이메일을 발송했습니다. 당시에는 관리자에게 YouTrack 데이터를 보호할 시간을 주기 위해 문제에 대한 세부 정보를 공개하지 않았습니다.
  3. 코드 베이스에 변경 사항이 배포될 때마다 이 취약점을 확인하기 위한 자동화된 테스트를 추가했습니다.

고객측에서 필요한 조치가 있습니까?

YouTrack Standalone. YouTrack Standalone의 관리자이면서 이메일 알림을 받지 못했다면 2019.1부터 시작되는 각 YouTrack 버전에 대해 당사 사이트에서 제공하는 최신 버그가 수정된 버전으로 YouTrack을 업그레이드 해주시기 바랍니다.

YouTrack InCloud는 8월에 수정된 버전으로 업그레이드되었습니다. 고객측에서 취해야 할 조치는 없습니다.

추가 지원이 필요하면 당사 지원 엔지니어에게 연락하거나 아래에 댓글을 남겨주세요.
불편을 끼쳐드린 점 진심으로 사과드립니다.

Your JetBrains YouTrack Team

이 게시물은 Anastasia Bartasheva가 작성한 YouTrack Security Update를 번역한 글입니다.

구독

업데이트 구독