近日我們在網路上發現一名工程師 Avinash Jain (@logicbomb_1) 寫了一篇Atlassian JIRA有安全疑慮的文章,連結如下:
內文提到"The root cause behind the leak was the wild misconfiguration which was present in JIRA.",其導致許多公司的內部使用者資料可以輕易的被查到,比對內文及實驗確認後,我們得出了一些結論並且可以很有自信的表示,其實這是正常的結果,請聽我娓娓道來。
眼見不一定為憑,莫急莫慌,聽聽專家怎麼說!
如果注意內文中的用字及觀察裡面的截圖可以發現,案例都是針對被設定成 "Public" 的 Filter 與 Dashboard 來做為實驗目標。
但其實這次的事件不完全是 Public 的分享設定所導致,"Shared with public" 一直都做為 JIRA 系統讓沒有帳號的使用者也可以參與公開內容的一種機制,會讓人擔心的是整個系統的員工資料被有心人士利用,這個風險根本的原因還是在於 Global Permission 的設定過度開放,當 Global Permission 有適當的限制,就算有公開的 Filter 在網路上被查到也不會因此暴露使用者資料。
這類只要足夠了解系統可以輕鬆防範的錯誤不停的再發生,歸根究柢還是對於系統不夠認識或是系統管理者不經意的疏忽,但在缺乏顧問引導及案例補充的情況下,又該如何確定自己的設定是正確的呢?就連舉世聞名的 NASA 沒注意到的盲點,您們家 IT 注意到了嗎?
有任何想法及意見歡迎來信或來電與我討論或聯絡您最熟悉的顧問與業務。
系統整合部 A組
工程師 盧致均 (Harry)
Atlassian Certification Expert :
擁有Atlassian 執照 - ACP-100 & ACP-300
經歷:
友達光電 JIRA 系統導入顧問
導入台灣康寧 JIRA 系統導入顧
光寶科技 JIRA 系統導入顧問
中國信託Confluence系統導入顧問
台北富邦銀行Confluence系統導入顧問
#Linktech #Devops #JIRA #Software #Taiwan #Atlassian #Expert #Vulnerability #Risk #BTS #IssueTracking