YouTrack 安全更新
我们最近在 YouTrack 中发现并修复了安全漏洞。 请注意,如果您是使用 YouTrack 独立版的商业客户,您的管理员应已在 8 月底收到我们的电子邮件,并有机会在本公告之前将 YouTrack 升级到修复版本。 如果您已经收到该电子邮件并按照该电子邮件采取了行动,无需采取进一步的措施。 如果您是 YouTrack InCloud 客户,请放心,我们已经采取了所有必要步骤来保护您的安装。
发生了什么事?
2020 年 8 月 13 日,我们修复了 YouTrack 中的一个安全漏洞。 该漏洞允许没有访问权限的登录用户或来宾用户通过未记录的 REST API 端点来获取问题描述。 此安全漏洞影响到版本 3.3(2012 年 3 月 2 日发布)到 2020.3.4313(2020 年 8 月 13 日发布),此后版本已被修复了。
该漏洞是在我们已弃用的 REST API 最旧端点之一中发现的。 不幸的是,该问题在外部安全审核和 YouTrack 源代码审核中都被忽略。 我们可以确认此端点从未出现在任何公开材料中,包括我们的产品文档。相应的 CVE 在此处发布。
这有关于哪些信息?
此安全问题有可能影响了满足以下条件之一的 YouTrack 实例:
- 来宾用户访问权已开启。
- 攻击者已登录。
在这些情况下,攻击者可以使用未记录的 YouTrack REST API 端点获得问题的描述,而不需有系统访问权。
遗憾的是,我们没有任何可以确认对特定 YouTrack 实例是否被入侵的信息。 但是,如果您在实例上禁用了来宾访问,或者无法从互联网上使用独立版的 YouTrack,请放心,第三方无法使用此漏洞访问您的数据。
我们采取了哪些行动
- 我们已于 2020 年 8 月 13 日修复了此问题,并将此修复反向移植到从 YouTrack 2019.1 开始的所有主要版本,以便可以将任何 YouTrack 独立版本更新为具有该修复的版本。 在同一天,我们使用了修复将所有 InCloud 实例更新为该版本。
- 我们已向所有 YouTrack 独立版管理员发送调用操作电子邮件,要求他们升级。 当时没有透露有关该问题的详细信息,以让管理员有时间保护自己的 YouTrack 数据。
- 每当将更改部署到代码库时,我们还添加了自动测试以检查此漏洞。
您需要采取任何措施吗?
YouTrack 独立版。如果您是 YouTrack 独立版的管理员,但没有收到电子邮件通知,请使用我们网站上自 2019.1 开始的 YouTrack 最新错误修复版本,以升级您的YouTrack 版本。
YouTrack InCloud 已于 8 月升级到修复版本。 您无需执行任何其他操作。
如果您需要其他帮助,请联系我们的支持工程师或在下面发表评论。
我们为这个事件带来的不便深表歉意。
JetBrains YouTrack 团队
订阅博客动态
