Обновления в системе безопасности YouTrack

Oksana Mandryka

Мы хотим рассказать вам об уязвимости в системе безопасности YouTrack, которую мы обнаружили и исправили в августе этого года. Если вы являетесь коммерческим клиентом и пользуетесь YouTrack Standalone, то в конце августа ваш администратор должен был получить от нас письмо с указанием обновить версию YouTrack. Если вы это сделали, никаких дальнейших действий от вас не требуется. Не стоит беспокоиться и пользователям YouTrack InCloud: в отношении этого продукта все необходимые меры безопасности уже приняты нашей командой.

Что произошло

13 августа 2020 года мы устранили уязвимость, обнаруженную в системе безопасности YouTrack. Она позволяла злоумышленнику, авторизованному в пользовательском или гостевом аккаунте, получать описания задач через недокументированный узел REST API, несмотря на отсутствие соответствующих прав доступа. Эта уязвимость присутствовала во всех версиях YouTrack начиная с версии 3.3, выпущенной 2 марта 2012 года, и была исправлена в версии 2020.3.4313, выпущенной 13 августа 2020 года.
Уязвимость была обнаружена на одном из давно функционировавших узлов нашего устаревшего REST API. К сожалению, проблему не удавалось обнаружить ни во время внешних аудитов безопасности, ни в ходе проверок программного кода. Хотим отметить, что мы никогда не упоминали данный узел в публикуемых материалах, включая документацию по продукту.
Ознакомиться с соответсвующей CVE-записью вы можете здесь.

Могли ли данные быть скомпрометированы?

Данная проблема могла коснуться вашего экземпляра YouTrack, если:

  • На нем был включен гостевой доступ.
  • Злоумышленник смог выполнить авторизацию.

Выполнение любого из этих условий означает, что у злоумышленника была возможность просматривать описания задач через недокументируемый узел YouTrack REST API.

К сожалению, у нас нет информации о том, был ли скомпрометирован какой-то определенный экземпляр YouTrack. Однако если в вашем случае гостевой доступ был выключен и ваш автономный экземпляр YouTrack не был доступен через интернет, мы гарантируем, что ваши данные находятся в безопасности.

Что мы предприняли

  1. 13 августа 2020 года мы устранили уязвимость и включили изменения во все крупные версии, начиная с YouTrack 2019.1. Таким образом, любой имеющийся у вас экземпляр YouTrack Standalone может быть обновлен до версии, содержащей исправление. В тот же день мы обновили все серверы InCloud.
  2. Всем администраторам YouTrack Standalone было отправлено письмо с указанием обновить версию продукта. В тот момент подробности проблемы мы не освещали: было важно, чтобы администраторы действовали без промедления.
  3. Для защиты от повторного возникновения данной уязвимости при дальнейшей разработке мы добавили соответствующий набор автотестов.

Требуются ли дополнительные действия с вашей стороны?

YouTrack Standalone. Если вы являетесь администратором YouTrack Standalone и ранее не получили от нас информационное письмо, пожалуйста, обновите все экземпляры YouTrack (версии 2019.1 и выше) до последней версии, которая содержит исправление. Скачать новую версию вы можете на нашем сайте.

Версию YouTrack InCloud мы обновили 13 августа 2020 года. Никаких действий со стороны пользователей этого продукта не требуется.

Если вам требуется помощь, свяжитесь с нашими инженерами поддержки или оставьте комментарий под этой записью.
Приносим извинения за сложившуюся ситуацию.

Ваша команда JetBrains YouTrack
The Drive to Develop

Подписаться

Подписаться на обновления