1、组件介绍

Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。

2、漏洞描述

近日，深信服安全团队监测到Jira官方发布了一则漏洞安全通告，通告披露了Jira Data Center,Jira Core Data Center,Jira Software Data Center,Jira Service Management Data Center组件存在远程代码执行漏洞，漏洞编号：CVE-2020-36239。

该漏洞是由于在40001等端口开放了Ehcache RMI 网络服务，且缺少身份验证造成，攻击者可利用该漏洞在未授权的情况下，构造恶意数据，执行远程代码执行攻击，最终可获取服务器最高权限。

在世界范围内，Jira主要分布在美国，在德国、中国、爱尔兰等国家也有少量分布，国内主要分布在浙江、北京、广东等地。

目前受影响的Jira版本：

6.3.0 ≤ Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.5.16

8.6.0 ≤ Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.13.8

8.14.0 ≤ Jira Data Center, Jira Core Data Center, Jira Software Data Center < 8.17.0

2.0.2  ≤ Jira Service Management Data Center < 4.5.16

4.6.0  ≤ Jira Service Management Data Center < 4.13.8

4.14.0 ≤ Jira Service Management Data Center < 4.17.0

1、如何检测组件系统版本

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：