Liigu edasi põhisisu juurde
Illustratsioon programmiveast, mis häirib Jira Service Management tööd

Vana tarkvaraversiooni varjuküljed ehk miks ei tasu uuendusi tähelepanuta jätta

Alice Bakhoff

NB! Juhime tähelepanu, et Atlassiani tooteid arendatatakse tempokalt. Artiklis välja toodud tooteomadused võivad ajas muutuda.

 

Tarkvaraversiooni ajakohasus mõjutab nii süsteemi turvalisust, jõudlust aga ka funktsionaalset efektiivsust

 

Atlassiani turvajuhtumite ajaloole tuginedes uurime vana tarkvaraversiooniga kaasnevaid riske, kirjeldame tooteversioonide tüüpe ja märkimisväärseid täiendusi, mis on jõustunud uutes Jira ja Confluence versioonides. 

 

 

Turvaaugud ja programmivead on sinu tootekeskkonna suurimad vaenlased 


Häkkerite armastatud mängumaaks on turvaaukude otsimine tarkvara koodis, läbi mille sinu tootekeskkonda rünnata.

 

Programmiviga (bug) on mingi funktionaalsuse mittetoimimine või häiritus.


CVE-2019-3396 ja CVE-2020-36239 ehk kuidas häkkerid turvaauke ekspluateerida võivad 
 

2019 aasta kevadel teatas Atlassian kriitilise tähtsusega turvavea CVE-2019-3396 parandusest Confluence server ja Data Center platvormi toodetel.  

 

CVE-2019-3396 turvaaugu paranduse teadaandele järgnevalt hakkasid häkkerid haavatavaid keskkondi ründama, kasutades selleks Widget Connector makrot

 

Pahavaraga nakatunud süsteeme kasutati krüptovaluuta kaevandamiseks ja hajutatud teenusetõkestamise (DDoS - Distributed Denial of Service attack) rünnakute käivitamiseks.   

 

Käesoleva aasta juulikuus avalikustas Atlassian samuti kriitilise tähtsusega Jira Data Center (Software, Core) ja Jira Service Management Data Center tooteid puudutava turvaaugu koodiga CVE-2020-36239

 

CVE-2020-36239 turvaaugu kaudu said ründajad läbi Ehcache RMI võrguteenuse piiramatu ligipääsu tõttu käivitada omavolilise kaugkoodi.  

 

Ehcache on avatud lähtekoodiga standardipõhine vahemälu, mis suurendab jõudlust, laeb andmebaasid maha (offloads databases) ja lihtsustab skaleeritavust. 

 

CVE-2020-36239 turvaaugu poolt ohustatud tooteversioonid, mis tuleks esimesel võimalusel uuendada on
 

Jira Data Center, Jira Core Data Center ja Jira Software Data Center:

  • 6.3.0 <= versioon < 8.5.16 
  • 8.6.0 <= versioon < 8.13.8 
  • 8.14.0 <= versioon < 8.17.0 

 

Jira Service Management Data Center:

  • 2.0.2 <= versioon < 4.5.16 
  • 4.6.0 <= versioon < 4.13.8 
  • 4.14.0 <= versioon < 4.17.0 

 

Atlassiani tooteversioonide kategooriad ja tähelepanuväärsed täiendused  


Järgnevalt kirjeldame Atlassiani toodete versiooninumbreid, mis on jaotatud kolme gruppi: 

  • platvorm – näiteks Confluence 6.0 – sisaldada märkimisväärseid muudatusi. Võib hõlmata olemasolevate API-de muutmist või eemaldamist, olulisi muudatusi kasutajakogemuses või uut suurejoonelist funktsiooni;
  • funktsioon/omadus (feature release) - näiteks Confluence 6.6 – tüüpiliselt sisaldab uusi funktsioone, muudatusi olemasolevates funktsioonides, muudatusi toetatud platvormides (nt andmebaasid, operatsioonisüsteemid, Giti versioonid) või funktsioonide eemaldamist;
  • veaparandused (bug fix release) - näiteks Confluence 6.6.2 – sisaldab veaparandusi, stabiilsust ja jõudluse täiustusi. Võivad olemasolevates funktsioonides teha väikseid muudatusi, kuid ei sisalda uusi funktsioone ega kõrge riskiga muudatusi. Jira puhul ilmub tüüpiliselt kord kuus, Confluence puhul pooleteist kuu tagant. 

 
Lisaks eelmainitule ilmub Long Term Support väljalase, mis ilmub kord aastas ning saab kriitilisi vea- ja turvalisuse parandusi kahe aastase tootetoe jooksul. 

 

Suure kasutajaskonna ja keeruliste süsteemidega organisatsioonid, kes peavad versiooniuuendusi pikalt planeerima soovitame uuendada Long Term Support versioonile. 

 

Lisaks kestvale programmivigade ja turvaaukude parandamisele lastakse uute tooteversioonidega välja kasutajakogemuse ja funktsionaalsuse täiendusi. 

 

Järgnevalt mõned märkimisväärsed näited Jira Software, Confluence ja Jira Service Management puhul:

 

Jira Software Data Center:

  • kiirem reindekseerimine (reindex) - Jira otsingupõhine alamsüsteemi Lucene uuendus saadaval 8.0 versioonist; 
  • uue versiooniga mitteühilduvate rakenduste blokeerimine – saadaval 8.0 versioonist; 
  • ligipääsetavus – võimalus oma profiili seadistuste alt muuta erinevaid ligipääsetavuse seadistusi  - näiteks taustavärve, pileti staatuse mustreid, tekstivahe suurust või hüperlinkide allajoonimist. Saadaval alates 8.9 versioonist; 
  • Advanced Roadmaps – saadaval alates 8.15 versioonist.


Confluence Data Center:

  • õiguste hulgilisamine mitmele ruumile – kasulik suurtele organisatsioonidele, kes soovivad ühe grupi õiguseid rakendada mitmes ruumis. Saadaval 7.3 versioonist; 
  • Analytics for Confluence – analüütika kogu keskkonna, aga ka eraldi ruumide kohta -  näiteks kõige vähemkasutatavad ja populaarsemad ruumid, aktiivsed kasutajad, tegevuste trendid jm. Saadaval alates 7.11 versioonist; 
  • Team Calendars – kalendrid kogu tiimile, mida on võimalik luua ruumide kaupa ja õigustega piirata. Võimalus sünkroniseerida ka teiste kalendrirakendustega nagu näiteks Google, Outlook, iCloud jm. Saadaval alates 7.11 versioonist. 
     

Jira Service Management Data Center:

  • Insight – Asset Management – sisaldub Jira Service Management’is alates 4.5 versioonist; 
  • piletite hulgimuutmine – saadaval alates 4.8 versioonist; 
  • võimekam auditilogi – saadava alates 4.8 versioonist; 
  • uued toetatud platvormid - Microsoft SQL Server 2019 ja Microsoft Edge (Chromium) alates 4.17 versioonist. 

 

 

Vähem riske ja rohkem funktsionaalsust uuendatud versiooniga  
 

Oma tooteversiooni ajakohasena hoidmine on hea praktika turvalise, tõhusa ja kasutajasõbraliku süsteemi suunas.

 

Versiooniuuendust soovitame alustada varukoopia loomisest. Pöördu julgelt meie poole, kui vajad abi - nõustame ja aitame kõiges, mis puudutab Atlassiani tooteid ja nendega seotud pistikprogramme.