<legend id="h4sia"></legend><samp id="h4sia"></samp>
<sup id="h4sia"></sup>
<mark id="h4sia"><del id="h4sia"></del></mark>

<p id="h4sia"><td id="h4sia"></td></p><track id="h4sia"></track>

<delect id="h4sia"></delect>
  • <input id="h4sia"><address id="h4sia"></address>

    <menuitem id="h4sia"></menuitem>

    1. <blockquote id="h4sia"><rt id="h4sia"></rt></blockquote>
      <wbr id="h4sia">
    2. <meter id="h4sia"></meter>

      <th id="h4sia"><center id="h4sia"><delect id="h4sia"></delect></center></th>
    3. <dl id="h4sia"></dl>
    4. <rp id="h4sia"><option id="h4sia"></option></rp>

        Skip to end of metadata
        Go to start of metadata

        描述

        通过 /secure/QueryComponent!Default.jspa 端点暴露敏感数据

        受影响的 Atlassian Jira Server 和 Data Center 版本允许未经身份验证的远程攻击者通过 /secure/QueryComponent!Default.jspa 端点中的信息泄露漏洞查看自定义字段名称和自定义 SLA 名称。

         影响版本

        • version < 8.5.8
        • 8.6.0 ≤ version < 8.11.1

        修复版本

        • 8.5.8
        • 8.11.1 及以上,包括 8.13.x

        解决方案

        修复版本中解决办法:

        禁用站点范围匿名访问的暗功能,

        • 添加暗功能“ public.access.disabled 

        禁用成功,在上述修复版本中,端点现在将为匿名用户返回 401

        • 添加新添加的暗功能“ com.atlassian.jira.plugin.issuenavigator.anonymousPreventCfData.enabled 

        禁用成功,

        1. 将返回 200,但是只有在未经过身份验证时,输出才会从响应中过滤掉所有自定义字段
        2. 打开“com.atlassian.jira.plugin.issuenavigator.anonymousPreventCfData.enabled”标志的副作用是在问题搜索的基本模式下(https://confluence.atlassian.com/jirasoftwareserver/basic-searching-939938708.html ) 不会有任何可用于匿名使用的自定义字段 + 应该会显示“您尚未登录,因此您不能在基本搜索中使用自定义字段。登录或切换到高级搜索。”的警告。
          高级模式应该可以正常工作(https://confluence.atlassian.com/jirasoftwareserver/advanced-searching-939938733.html

        注:如何进入匿名访问暗功能:以管理员身份登录并转到 [BASE-URL] /secure/SiteDarkFeatures!default.jspa


        影响版本解决办法:

        server版本

        1. 编辑文件 JIRA_INSTALL/atlassian-jira/WEB-INF/urlrewrite.xml
        2. 在最后 行的正下方(但在 行之前)插入一条新规则:
               
                  (?s)/QueryComponent!.*\.jspa 
                  "session-attribute" name= "seraph_defaultauthenticator_user"  operator = "notequal" >.+ 
                  "status" >403 
                   null  
              
          
        3. 重启Jira

        datacenter版本,每个节点都修改一下,并重启



        https://jira.atlassian.com/browse/JRASERVER-71536

        https://confluence.atlassian.com/jirakb/how-to-control-anonymous-user-access-in-a-public-jira-instance-975031479.html

        https://confluence.atlassian.com/jirakb/how-to-control-anonymous-user-access-in-a-public-jira-instance-975031479.html




        • No labels