YouTrack 安全更新

Read this post in other languages:

我们最近在 YouTrack 中发现并修复了安全漏洞。 请注意,如果您是使用 YouTrack 独立版的商业客户,您的管理员应已在 8 月底收到我们的电子邮件,并有机会在本公告之前将 YouTrack 升级到修复版本。 如果您已经收到该电子邮件并按照该电子邮件采取了行动,无需采取进一步的措施。 如果您是 YouTrack InCloud 客户,请放心,我们已经采取了所有必要步骤来保护您的安装。

发生了什么事?

2020 年 8 月 13 日,我们修复了 YouTrack 中的一个安全漏洞。 该漏洞允许没有访问权限的登录用户或来宾用户通过未记录的 REST API 端点来获取问题描述。 此安全漏洞影响到版本 3.3(2012 年 3 月 2 日发布)到 2020.3.4313(2020 年 8 月 13 日发布),此后版本已被修复了。
该漏洞是在我们已弃用的 REST API 最旧端点之一中发现的。 不幸的是,该问题在外部安全审核和 YouTrack 源代码审核中都被忽略。 我们可以确认此端点从未出现在任何公开材料中,包括我们的产品文档。相应的 CVE 在此处发布。

这有关于哪些信息?

此安全问题有可能影响了满足以下条件之一的 YouTrack 实例:

  • 来宾用户访问权已开启。
  • 攻击者已登录。

在这些情况下,攻击者可以使用未记录的 YouTrack REST API 端点获得问题的描述,而不需有系统访问权。
遗憾的是,我们没有任何可以确认对特定 YouTrack 实例是否被入侵的信息。 但是,如果您在实例上禁用了来宾访问,或者无法从互联网上使用独立版的 YouTrack,请放心,第三方无法使用此漏洞访问您的数据。

我们采取了哪些行动

  1. 我们已于 2020 年 8 月 13 日修复了此问题,并将此修复反向移植到从 YouTrack 2019.1 开始的所有主要版本,以便可以将任何 YouTrack 独立版本更新为具有该修复的版本。 在同一天,我们使用了修复将所有 InCloud 实例更新为该版本。
  2. 我们已向所有 YouTrack 独立版管理员发送调用操作电子邮件,要求他们升级。 当时没有透露有关该问题的详细信息,以让管理员有时间保护自己的 YouTrack 数据。
  3. 每当将更改部署到代码库时,我们还添加了自动测试以检查此漏洞。

您需要采取任何措施吗?

YouTrack 独立版。如果您是 YouTrack 独立版的管理员,但没有收到电子邮件通知,请使用我们网站上自 2019.1 开始的 YouTrack 最新错误修复版本,以升级您的YouTrack 版本。

YouTrack InCloud 已于 8 月升级到修复版本。 您无需执行任何其他操作。

如果您需要其他帮助,请联系我们的支持工程师或在下面发表评论。
我们为这个事件带来的不便深表歉意。
JetBrains YouTrack 团队

Discover more

YouTrack 现已引入帮助台项目

YouTrack 2023.1 引入了 YouTrack Helpdesk,使您能够简化外部客户和内部客户的客户支持服务。凭借新的帮助台项目类型、面向支持人员的重大改进,以及应对各种不同的客户及其请求的能力,YouTrack 可以在一个简单易用的工具中为您的团队的所有项目提供经验丰富的客户支持。 但这并不是 YouTrack 2023.1 的所有最新变化。对知识库的增强使构建公共文档和常见问题解答变得更加轻松。Zendesk 和邮箱集成已得到改进,简化了客户支持服务的迁移过程。新的内容选项,如将 Miro 面板和 Google 云端硬盘视频嵌入您的任务和文章中的功能,将帮助您丰富知识库、工单和任务。 YouTrack Helpdesk 简介 YouTrack Helpdesk 体验从新的专用帮助台项目类型开始。我们在设计这些项目时考虑到了支持人员和其他团队成员,帮助您为外部客户提供支持系统,或为内部客户提供服务台。您可以在您熟悉和喜爱的 YouTrack 界面中处理这些项目,以及您的团队管理的其他项目。您可以通过电子邮件或者在网站或内部门户中构建的可定制表单收集客户请求。然后,这些请求会作为工单传输到帮助台项目。 在处理工单时,您的支持人员可以访问许多专为常见支持场景定制的工具,例如内部和外部评论、签名与答复模板、服务级别协议 (SLA) 管理功能等

YouTrack 2023 路线图

新年开始之际,我们想在这里分享更新的路线图并重点介绍 YouTrack 未来的长期目标。 感谢我们的忠实用户,YouTrack 客户群在全球范围内迅速增长,我们将继续致力于为各行各业的团队打造更强大的工具。 我们的产品承诺和抱负 去年,我们分享了我们的 2022 路线图和长期计划,我们高兴地报告我们的愿景得到了很好地实现,因此,我们的产品承诺在稳步推进。 YouTrack 正在成为软件开发与 IT 部门、产品与项目管理、营销、财务、行政和许多其他领域团队的通用工具,它允许您以自己的方式工作、协作和交流。 我们的长期计划是继续开发 YouTrack 以处理更广泛的用例,从针对中小型公司的简单任务管理到面向大型企业的复杂项目协调。 我们致力于让您自由选择应用程序和数据的托管位置。 我们为此继续协同开发 YouTrack Cloud 和 YouTrack Server,让团队可以根据需要在云和本地部署托管之间轻松迁移。 我们在 2023 年的工作计划 帮助台 首先,我们将为提供外部客户支持或管理内部请求的团队引入专属帮助台解决方案。 新的帮助台项目将简化支持代表的工作,并使其与同事(组织中的贡献者)之间的协作变得轻而易举。 您将能够在帮助台中管理支持流,使用单独的按代表计费的灵活许可模式,订阅中包含额外的免费报告者容量。 帮助台将提供用于管理自定义支持服务等级协议的工作流,以及一个简化