descripción general
Recientemente se descubrió un problema de seguridad grave en TeamCity On-Premises. (Originalmente descubierto y reportado por el equipo de Sonar ).
Esta vulnerabilidad crítica de seguridad ha recibido el identificador CVE CVE-2023-42793 y la vulnerabilidad CWE-288 .
Esta vulnerabilidad podría permitir que un atacante no autenticado acceda a los servidores de TeamCity a través de HTTP(S), realice un ataque de ejecución remota de código (RCE) y obtenga control administrativo de los servidores de TeamCity.
Esta vulnerabilidad se ha corregido en la versión 2023.05.4 .
Esperamos que todos los usuarios actualicen sus servidores a la última versión.
También hemos lanzado un complemento de parche de seguridad para los usuarios que no pueden actualizar (detalles a continuación).
detalles
Recientemente se descubrió un problema de seguridad grave en TeamCity On-Premises. Si se abusa de ella, esta falla podría permitir que un atacante no autenticado acceda al servidor TeamCity a través de HTTP(S), realice un ataque de ejecución remota de código (RCE) y obtenga control administrativo del servidor TeamCity.
Todas las versiones de TeamCity On-Premises se ven afectadas por esta vulnerabilidad de seguridad crítica. Ha recibido el identificador CVE CVE-2023-42793 y la vulnerabilidad CWE-288 (omisión de autenticación mediante ruta o canal alternativo). Este problema no afecta a TeamCity Cloud; hemos actualizado el servidor de TeamCity Cloud a la última versión.
Hemos solucionado esta vulnerabilidad en la versión 2023.05.4 y hemos notificado a los clientes. También publicaremos detalles técnicos adicionales sobre esta vulnerabilidad lo antes posible. Mientras tanto, recomendamos encarecidamente que todos los usuarios de TeamCity On-Premises actualicen sus servidores a 2023.05.4 para mitigar este problema.
Para actualizar el servidor, descargue la última versión (2023.05.4) o utilice la opción de actualización automática dentro de TeamCity .
Si no puede actualizar su servidor a 2023.05.4, también hemos lanzado un complemento de parche de seguridad para que aún pueda parchear su entorno. El complemento del parche de seguridad se puede descargar e instalar en TeamCity 8.0+ a través de uno de los enlaces siguientes. Parchará la vulnerabilidad RCE específica mencionada anteriormente. Para TeamCity 2019.2 y versiones posteriores, no es necesario reiniciar el servidor TeamCity para habilitar el complemento. Para versiones anteriores a 2019.2, debe reiniciar el servidor después de instalar el complemento.
Complemento de parche de seguridad: se aplica a TeamCity 2018.2 a 2023.05.3 | Se aplica a TeamCity 8.0 a 2018.1
Nota importante: el complemento del parche de seguridad solo aborda las vulnerabilidades de RCE descritas anteriormente. Siempre recomendamos a los usuarios que actualicen sus servidores a la última versión para beneficiarse de actualizaciones de seguridad adicionales.
Si su servidor es accesible públicamente desde Internet, pero no puede realizar de inmediato las mitigaciones anteriores, le recomendamos que haga que el servidor sea inaccesible temporalmente hasta que se completen las mitigaciones.
Puede encontrar una lista completa de los problemas de seguridad solucionados recientemente en la página Problemas de seguridad solucionados del sitio web de JetBrains. También puede suscribirse para recibir notificaciones de todas las correcciones de productos JetBrains por correo electrónico.
Preguntas frecuentes
¿Qué versiones se ven afectadas?
Todas las versiones anteriores a la versión parcheada (2023.05.4) se ven afectadas por este problema. Recomendamos actualizar lo antes posible.
¿Se ve afectado TeamCity Cloud?
Este problema no afecta a TeamCity Cloud; hemos actualizado el servidor de TeamCity Cloud a la última versión.
¿Es posible respaldar la solución?
a nuestra versión?
Actualmente no estamos considerando realizar backporting. Tenga en cuenta que el complemento que lanzamos mitiga este problema y es compatible con TeamCity 8.0+.
apoyo
Si tiene alguna pregunta sobre este problema o encuentra problemas de actualización, comuníquese con el equipo de soporte de TeamCity enviando un ticket .
Autor original en inglés de este blog: Yegor Naumov
Reserva en vivo | JetBrains GameDev Day 2023
El 13 de octubre de 2023 (viernes), JetBrains organizará el evento GameDev Day 2023, invitando a 11 expertos de diferentes campos a dar discursos, organizar debates y compartir consejos profesionales para crear los mejores juegos. El evento explorará temas como pruebas de juegos, CI/CD, DOTS para Unity y desarrollo de Apple Vision Pro.
En ese momento, transmitiremos simultáneamente este evento en la cuenta de video y en la estación B, y brindaremos interpretación simultánea de subtítulos bilingües. ¡Bienvenido a verlo a tiempo!
Lectura relacionada con TeamCity
⏬ Haga clic en "Leer el texto original" para obtener más información.
Este artículo se comparte desde la cuenta pública de WeChat: JetBrains (JetBrainsChina).
Si hay alguna infracción, comuníquese con [email protected] para eliminarla.
Este artículo participa en el " Plan de creación de fuentes OSC ". Los que están leyendo pueden unirse y compartir juntos.