Atualização de Segurança do YouTrack
Este anúncio está relacionado a uma vulnerabilidade de segurança que encontramos e corrigimos recentemente no YouTrack. Observe que, se você é um cliente comercial usando o YouTrack Standalone, seu Administrador deverá ter recebido um e-mail nosso no final de agosto e teve tempo de atualizar sua instalação do YouTrack para uma versão corrigida antes deste anúncio público. Nenhuma ação adicional será necessária se você já tiver recebido esse e-mail e tomado as devidas medidas. Se você é um cliente do YouTrack InCloud, fique tranquilo, pois já tomamos todas as medidas necessárias para proteger sua instalação.
O que aconteceu?
Em 13 de agosto de 2020, corrigimos uma vulnerabilidade de segurança no YouTrack. A vulnerabilidade permitia que usuários conectados ou convidados recuperassem descrições de issues sem ter as permissões de acesso necessárias por meio de um endpoint de API REST não documentado. Essa vulnerabilidade de segurança afetou as instâncias do YouTrack desde a versão 3.3 (lançada em 2 de março de 2012) até a versão 2020.3.4313 (lançada em 13 de agosto de 2020), quando o problema foi corrigido.
A vulnerabilidade foi encontrada em um dos endpoints mais antigos de nossa API REST obsoleta. Infelizmente, o problema sobreviveu a auditorias de segurança externas e auditorias de código-fonte do YouTrack. Podemos confirmar que esse endpoint nunca apareceu em nenhum material público, incluindo a documentação do nosso produto.
Uma CVE correspondente está publicada aqui.
Que informações foram comprometidas?
Este problema de segurança pode ter afetado as instâncias do YouTrack com um destes possíveis cenários:
- O acesso de convidado (Guest) estava habilitado.
- Um invasor estava conectado.
Nesses casos, era possível para o invasor recuperar descrições de issues sem ter permissões do sistema para acessá-las usando o endpoint de API REST não documentado do YouTrack.
Infelizmente, não temos informações para confirmar se o acesso a uma determinada instância do YouTrack foi comprometido. No entanto, se você tinha o acesso a convidados desabilitado na sua instância, ou se o seu YouTrack standalone não está disponível na Internet, tenha certeza de que terceiros não conseguiram acessar seus dados usando essa vulnerabilidade.
Que medidas tomamos
- Corrigimos o problema em 13 de agosto de 2020 e retrocedemos a correção para todas as versões principais a partir do YouTrack 2019.1, para que qualquer YouTrack Standalone possa ser atualizado para uma versão com a correção. No mesmo dia, atualizamos todas as instâncias do InCloud para a versão com a correção.
- Enviamos um e-mail a todos os administradores do YouTrack Standalone para solicitar o upgrade. Na ocasião, nenhum detalhe sobre o problema foi divulgado, para dar aos administradores tempo para proteger seus dados do YouTrack.
- Adicionamos testes automatizados para verificar essa vulnerabilidade sempre que alterações são implantadas na base de código.
É necessária alguma ação da sua parte?
YouTrack Standalone. Se você é um administrador do YouTrack Standalone e não recebeu a notificação por e-mail, use as versões de correção de bug mais recentes para cada versão do YouTrack a partir da 2019.1, disponível em nosso site, para atualizar seu YouTrack.
O YouTrack InCloud recebeu upgrade para uma versão corrigida em agosto. Você não precisa fazer nada.
Se precisar de mais assistência, entre em contato com nossos Engenheiros de suporte ou simplesmente deixe um comentário abaixo.
Aceite nossas sinceras desculpas por essa situação.
A equipe do JetBrains YouTrack
Subscribe to YouTrack Blog updates
