服务器之家:专注于服务器技术及软件下载分享
分类导航

服务器资讯|IT/互联网|云计算|区块链|软件资讯|操作系统|手机数码|百科知识|免费资源|头条新闻|

服务器之家 - 新闻资讯 - 服务器资讯 - Jira服务器错误配置 导致员工和项目信息曝光

Jira服务器错误配置 导致员工和项目信息曝光

2019-08-07 09:40中关村在线郑伟 服务器资讯

安全工程师Avinash Jain上周警告,知名的缺陷追踪工具 Jira 的错误配置,让许多知名公司的机密数据全都曝光,包括NASA、Google、Yahoo及各种政府网站。 Jira是由澳大利亚Atlassian所打造的缺陷管理、任务追踪与项目管理软件,去年JetB

安全工程师Avinash Jain上周警告,知名的缺陷追踪工具Jira的错误配置,让许多知名公司的机密数据全都曝光,包括NASA、Google、Yahoo及各种政府网站。

Jira服务器错误配置 导致员工和项目信息曝光

Jira是由澳大利亚Atlassian所打造的缺陷管理、任务追踪与项目管理软件,去年JetBrains的调查显示,它是最受开发人员青睐的任务追踪工具。

根据Jain的描述,此一错误配置只是语意上的误解,因为在Jira上建立过滤器与仪表板时,它的可视化预设值分别是All users及Everyone,管理员可能将它们误以为是与企业内的所有人分享,但它却是个公开分享的选项。

此外,Jira中的user picker功能则曝露了所有使用者的名称与电子邮件地址。因此,只要不留心相关的权限配置,企业内的员工名称、电子邮件帐号、Jira群组中的员工角色、现有项目,以及未来准备由Jira仪表板与过滤器实现的功能,通通会曝光。

今年初Jain就已披露相关配置让他访问了NASA的机密数据,近日他更曝出其实也从Google、Yahoo、GoJek、HipChat、Zendesk、Sapient、Western union、联想或许多政府网站的Jira服务器上,发现意外曝光的数据。

Jain表示,他其实只是在Google搜索中使用特定的关键字,就能找到可公开检视的Jira数据,与其称它为安全问题,不如说它是个隐私问题,竞争对手可用这些数据来拟定策略,或者骇客也可利用它们来执行攻击。

迄今该研究员已向不少企业通报此一配置错误的问题,有些企业还支付奖励金予Jain,有些企业已修补,但有些企业则不为所动。因此建议Jira的母公司Atlassian应该提供更清楚的说明,以免误导了用户并造成信息泄露。

延伸 · 阅读

精彩推荐