![\"\"](\"https:\/\/blog.jetbrains.com\/wp-content\/uploads\/2020\/10\/BR-PR-copy.png\")
<\/p>\n<\/p>\n
Este an\u00fancio est\u00e1 relacionado a uma vulnerabilidade de seguran\u00e7a que encontramos e corrigimos recentemente no YouTrack. Observe que, se voc\u00ea \u00e9 um cliente comercial usando o YouTrack Standalone, seu Administrador dever\u00e1 ter recebido um e-mail nosso no final de agosto e teve tempo de atualizar sua instala\u00e7\u00e3o do YouTrack para uma vers\u00e3o corrigida antes deste an\u00fancio p\u00fablico. Nenhuma a\u00e7\u00e3o adicional ser\u00e1 necess\u00e1ria se voc\u00ea j\u00e1 tiver recebido esse e-mail e tomado as devidas medidas. Se voc\u00ea \u00e9 um cliente do YouTrack InCloud, fique tranquilo, pois j\u00e1 tomamos todas as medidas necess\u00e1rias para proteger sua instala\u00e7\u00e3o.<\/p>\n
<\/span><\/p>\n Em 13 de agosto de 2020, corrigimos uma vulnerabilidade de seguran\u00e7a no YouTrack. A vulnerabilidade permitia que usu\u00e1rios conectados ou convidados recuperassem descri\u00e7\u00f5es de issues sem ter as permiss\u00f5es de acesso necess\u00e1rias por meio de um endpoint de API REST n\u00e3o documentado. Essa vulnerabilidade de seguran\u00e7a afetou as inst\u00e2ncias do YouTrack desde a vers\u00e3o 3.3 (lan\u00e7ada em 2 de mar\u00e7o de 2012) at\u00e9 a vers\u00e3o 2020.3.4313 (lan\u00e7ada em 13 de agosto de 2020), quando o problema foi corrigido. Este problema de seguran\u00e7a pode ter afetado as inst\u00e2ncias do YouTrack com um destes poss\u00edveis cen\u00e1rios:<\/p>\n Nesses casos, era poss\u00edvel para o invasor recuperar descri\u00e7\u00f5es de issues sem ter permiss\u00f5es do sistema para acess\u00e1-las usando o endpoint de API REST n\u00e3o documentado do YouTrack.<\/p>\n Infelizmente, n\u00e3o temos informa\u00e7\u00f5es para confirmar se o acesso a uma determinada inst\u00e2ncia do YouTrack foi comprometido. No entanto, se voc\u00ea tinha o acesso a convidados desabilitado na sua inst\u00e2ncia, ou se o seu YouTrack standalone n\u00e3o est\u00e1 dispon\u00edvel na Internet, tenha certeza de que terceiros n\u00e3o conseguiram acessar seus dados usando essa vulnerabilidade. <\/p>\n YouTrack Standalone.<\/strong> Se voc\u00ea \u00e9 um administrador do YouTrack Standalone e n\u00e3o recebeu a notifica\u00e7\u00e3o por e-mail, use as vers\u00f5es de corre\u00e7\u00e3o de bug mais recentes para cada vers\u00e3o do YouTrack a partir da 2019.1, dispon\u00edvel em nosso site<\/a>, para atualizar seu YouTrack.<\/p>\nO que aconteceu?<\/h2>\n
\nA vulnerabilidade foi encontrada em um dos endpoints mais antigos de nossa API REST obsoleta. Infelizmente, o problema sobreviveu a auditorias de seguran\u00e7a externas e auditorias de c\u00f3digo-fonte do YouTrack. Podemos confirmar que esse endpoint nunca apareceu em nenhum material p\u00fablico, incluindo a documenta\u00e7\u00e3o do nosso produto.
\nUma CVE correspondente est\u00e1 publicada aqui<\/a>.<\/p>\nQue informa\u00e7\u00f5es foram comprometidas?<\/h2>\n
\n
Que medidas tomamos<\/h2>\n
\n
\u00c9 necess\u00e1ria alguma a\u00e7\u00e3o da sua parte?<\/h2>\n