YouTrack 安全更新

Read this post in other languages:

我们最近在 YouTrack 中发现并修复了安全漏洞。 请注意,如果您是使用 YouTrack 独立版的商业客户,您的管理员应已在 8 月底收到我们的电子邮件,并有机会在本公告之前将 YouTrack 升级到修复版本。 如果您已经收到该电子邮件并按照该电子邮件采取了行动,无需采取进一步的措施。 如果您是 YouTrack InCloud 客户,请放心,我们已经采取了所有必要步骤来保护您的安装。

发生了什么事?

2020 年 8 月 13 日,我们修复了 YouTrack 中的一个安全漏洞。 该漏洞允许没有访问权限的登录用户或来宾用户通过未记录的 REST API 端点来获取问题描述。 此安全漏洞影响到版本 3.3(2012 年 3 月 2 日发布)到 2020.3.4313(2020 年 8 月 13 日发布),此后版本已被修复了。
该漏洞是在我们已弃用的 REST API 最旧端点之一中发现的。 不幸的是,该问题在外部安全审核和 YouTrack 源代码审核中都被忽略。 我们可以确认此端点从未出现在任何公开材料中,包括我们的产品文档。相应的 CVE 在此处发布。

这有关于哪些信息?

此安全问题有可能影响了满足以下条件之一的 YouTrack 实例:

  • 来宾用户访问权已开启。
  • 攻击者已登录。

在这些情况下,攻击者可以使用未记录的 YouTrack REST API 端点获得问题的描述,而不需有系统访问权。
遗憾的是,我们没有任何可以确认对特定 YouTrack 实例是否被入侵的信息。 但是,如果您在实例上禁用了来宾访问,或者无法从互联网上使用独立版的 YouTrack,请放心,第三方无法使用此漏洞访问您的数据。

我们采取了哪些行动

  1. 我们已于 2020 年 8 月 13 日修复了此问题,并将此修复反向移植到从 YouTrack 2019.1 开始的所有主要版本,以便可以将任何 YouTrack 独立版本更新为具有该修复的版本。 在同一天,我们使用了修复将所有 InCloud 实例更新为该版本。
  2. 我们已向所有 YouTrack 独立版管理员发送调用操作电子邮件,要求他们升级。 当时没有透露有关该问题的详细信息,以让管理员有时间保护自己的 YouTrack 数据。
  3. 每当将更改部署到代码库时,我们还添加了自动测试以检查此漏洞。

您需要采取任何措施吗?

YouTrack 独立版。如果您是 YouTrack 独立版的管理员,但没有收到电子邮件通知,请使用我们网站上自 2019.1 开始的 YouTrack 最新错误修复版本,以升级您的YouTrack 版本。

YouTrack InCloud 已于 8 月升级到修复版本。 您无需执行任何其他操作。

如果您需要其他帮助,请联系我们的支持工程师或在下面发表评论。
我们为这个事件带来的不便深表歉意。
JetBrains YouTrack 团队

Discover more