Atlassian a publié un avis de sécurité pour alerter que ses produits Jira et Jira Service Management sont affectés par une vulnérabilité critique de contournement d’authentification dans Seraph, le framework de sécurité des applications Web de l’entreprise.
Seraph est utilisé dans Jira et Confluence pour gérer toutes les demandes de connexion et de déconnexion via un système d’éléments de base enfichables.
La faille est suivie comme CVE-2022-0540 et est livré avec un indice de gravité de 9,9. Il permet à un attaquant distant de contourner l’authentification en envoyant une requête HTTP spécialement conçue aux terminaux vulnérables.
Les produits concernés sont Jira Core Server, Software Data Center, Software Server, Service Management Server et Management Data Center. Plus spécifiquement, les versions suivantes sont impactées :
- Jira Core Server, Software Server et Software Data Center avant 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x avant 8.20.6 et 8.21.x.
- Jira Service Management Server et Management Data Center avant 4.13.18, 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x avant 4.20.6, 4.21.x.
La vulnérabilité n’affecte pas les versions cloud de Jira et Jira Service Management.
Atlassian précise que les attaquants distants ne peuvent compromettre les produits impactés que s’ils utilisent une configuration spécifique dans Seraph, qui est détaillée comme suit :
Bien que la vulnérabilité se trouve au cœur de Jira, elle affecte les applications propriétaires et tierces qui spécifient les « rôles requis » au niveau de l’espace de noms d’action « webwork1 » et ne le spécifient pas au niveau « action ».
Applications vulnérables
La gravité de l’exploitation de CVE-2022-0540 varie également selon les applications utilisées et si elles utilisent des vérifications d’autorisation supplémentaires en plus de celles de la configuration de Seraph.
Les deux applications groupées affectées par la faille sont « Insight – Asset Management » et « Mobile Plugin » pour Jira. Pour une liste complète des applications concernées, consultez la section centrale de Avis d’Atlassian.
Les applications tierces, comme celles en dehors de l’Atlassian Marketplace ou développées en interne par les clients, sont également impactées si elles reposent sur une configuration vulnérable.
Si aucune application impactée n’est utilisée dans Jira, la gravité de la vulnérabilité tombe à moyenne.
Correction et solutions de contournement
Les versions qui incluent les mises à jour de sécurité sont Jira Core Server, Software Server et Software Data Center 8.13.x >= 8.13.18, 8.20.x >= 8.20.6, et toutes les versions à partir de 8.22.0 et versions ultérieures.
En ce qui concerne Jira Service Management, les versions corrigées sont 4.13.x >= 4.13.18, 4.20.x >= 4.20.6 et 4.22.0 et versions ultérieures.
Il est fortement conseillé aux utilisateurs de mettre à jour vers l’une des versions ci-dessus. Si cela n’est pas possible pour le moment, Atlassian recommande de mettre à jour les applications concernées vers une version qui a corrigé le risque ou de désactiver les applications vulnérables jusqu’à ce qu’un correctif soit possible.
Ceux qui utilisent Jira Service Management 4.19.x et 4.20.x