一、概要

近日，华为云关注到Atlassian官方发布安全公告，披露旗下Jira Data Center、Jira Service Management Data Center等多个产品存在远程代码执行漏洞（CVE-2020-36239）。这些产品在40001等默认端口开放了Ehcache RMI 网络服务，由于缺少身份验证，攻击者可以通过反序列化在Jira中实现任意代码执行。

Jira是一个缺陷跟踪管理系统，为针对缺陷管理、任务追踪和项目管理的商业性应用软件。华为云提醒使用Jira的用户及时安排自检并做好安全加固。

参考链接：Jira Data Center And Jira Service Management Data Center Security Advisory 2021-07-21

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Jira Data Center, Jira Core Data Center, Jira Software Data Center- ranges

6.3.0 <= version < 8.5.16

8.6.0 <= version < 8.13.8

8.14.0 <= version < 8.17.0

Jira Service Management Data Center – ranges

2.0.2 <= version < 4.5.16

4.6.0 <= version < 4.13.8

4.14.0 <= version < 4.17.0

安全版本：

Jira Data Center, Jira Core Data Center, Jira Software Data Center

Version 8.5.16 for 8.5.x LTS

Version 8.13.8 for 8.13.x LTS

Version 8.17.0

Jira Service Management Data Center

Version 4.5.16 for 4.5.x LTS

Version 4.13.8 for 4.13.x LTS

Version 4.17.0

四、安全建议

1、目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本。

2、无法及时升级的用户可根据Atlassian官方提供的建议，通过防火墙或类似的技术限制对Ehcache RMI服务端口的访问。

注：修复漏洞前请将资料备份，并进行充分测试。