aperçu
Un grave problème de sécurité a été récemment découvert dans TeamCity On-Premises. (Découvert à l'origine et signalé par l'équipe Sonar ).
Cette vulnérabilité de sécurité critique a reçu l'identifiant CVE CVE-2023-42793 et la vulnérabilité CWE-288 .
Cette vulnérabilité pourrait permettre à un attaquant non authentifié d'accéder aux serveurs TeamCity via HTTP(S), de mener une attaque d'exécution de code à distance (RCE) et d'obtenir le contrôle administratif des serveurs TeamCity.
Cette vulnérabilité a été corrigée dans la version 2023.05.4 .
Nous attendons de tous les utilisateurs qu'ils mettent à jour leurs serveurs avec la dernière version.
Nous avons également publié un plugin de correctif de sécurité pour les utilisateurs qui ne peuvent pas mettre à jour (détails ci-dessous).
détails
Un grave problème de sécurité a été récemment découvert dans TeamCity On-Premises. En cas d'abus, cette faille pourrait permettre à un attaquant non authentifié d'accéder au serveur TeamCity via HTTP(S), de mener une attaque d'exécution de code à distance (RCE) et d'obtenir le contrôle administratif du serveur TeamCity.
Toutes les versions de TeamCity On-Premises sont affectées par cette vulnérabilité de sécurité critique. Il a reçu l'identifiant CVE CVE-2023-42793 et la vulnérabilité CWE-288 (contournement d'authentification utilisant un chemin ou un canal alternatif). Ce problème n'affecte pas TeamCity Cloud, nous avons mis à niveau le serveur TeamCity Cloud vers la dernière version.
Nous avons corrigé cette vulnérabilité dans la version 2023.05.4 et en avons informé les clients. Nous publierons également des détails techniques supplémentaires sur cette vulnérabilité dès que possible. En attendant, nous recommandons fortement à tous les utilisateurs de TeamCity On-Premises de mettre à jour leurs serveurs vers la version 2023.05.4 pour atténuer ce problème.
Pour mettre à jour le serveur, veuillez télécharger la dernière version (2023.05.4) ou utiliser l'option de mise à jour automatique dans TeamCity .
Si vous ne parvenez pas à mettre à jour votre serveur vers la version 2023.05.4, nous avons également publié un plugin de correctif de sécurité afin que vous puissiez toujours appliquer des correctifs à votre environnement. Le plug-in du correctif de sécurité peut être téléchargé et installé sur TeamCity 8.0+ via l'un des liens ci-dessous. Il corrigera la vulnérabilité RCE spécifique mentionnée ci-dessus. Pour TeamCity 2019.2 et versions ultérieures, il n'est pas nécessaire de redémarrer le serveur TeamCity pour activer le plug-in. Pour les versions antérieures à 2019.2, vous devez redémarrer le serveur après avoir installé le plug-in.
Plugin de correctif de sécurité : s'applique à TeamCity 2018.2 à 2023.05.3 | S'applique à TeamCity 8.0 à 2018.1
Remarque importante : le plug-in du correctif de sécurité résout uniquement les vulnérabilités RCE décrites ci-dessus. Nous recommandons toujours aux utilisateurs de mettre à niveau leurs serveurs vers la dernière version pour bénéficier de mises à jour de sécurité supplémentaires.
Si votre serveur est accessible publiquement depuis Internet, mais que vous ne parvenez pas à effectuer immédiatement les atténuations ci-dessus, nous vous recommandons de rendre temporairement le serveur inaccessible jusqu'à ce que les atténuations soient terminées.
Une liste complète des problèmes de sécurité récemment résolus se trouve sur la page Problèmes de sécurité résolus du site Web de JetBrains. Vous pouvez également vous abonner pour recevoir des notifications de tous les correctifs de produits JetBrains par e-mail.
Questions fréquemment posées
Quelles versions sont concernées ?
Toutes les versions antérieures à la version corrigée (2023.05.4) sont concernées par ce problème. Nous vous recommandons de mettre à niveau dès que possible.
TeamCity Cloud est-il concerné ?
Ce problème n'affecte pas TeamCity Cloud, nous avons mis à niveau le serveur TeamCity Cloud vers la dernière version.
Est-il possible de rétroporter le correctif ?
à notre version ?
Nous n’envisageons pas actuellement de rétroporter. Veuillez noter que le plugin que nous avons publié atténue ce problème et est compatible avec TeamCity 8.0+.
soutien
Si vous avez des questions sur ce problème ou rencontrez des problèmes de mise à niveau, veuillez contacter l'équipe d'assistance TeamCity en soumettant un ticket .
Auteur original anglais de ce blog : Yegor Naumov
Réservation en direct | JetBrains GameDev Day 2023
Le 13 octobre 2023 (vendredi), JetBrains organisera l' événement GameDev Day 2023 , invitant 11 experts de différents domaines à prononcer des discours, à animer des discussions et à partager des conseils professionnels pour créer les meilleurs jeux. L'événement explorera des sujets tels que les tests de jeux, CI/CD, DOTS pour Unity et le développement Apple Vision Pro.
À ce moment-là, nous diffuserons simultanément cet événement sur le compte vidéo et sur la station B, et assurerons l'interprétation simultanée des sous-titres bilingues. Bienvenue à regarder à l'heure !
Lecture relative à TeamCity
⏬ Cliquez sur "Lire le texte original" pour plus d'informations
Cet article est partagé à partir du compte public WeChat - JetBrains (JetBrainsChina).
En cas d'infraction, veuillez contacter [email protected] pour suppression.
Cet article participe au " Plan de création de sources OSC ". Vous qui lisez êtes invités à vous joindre et à partager ensemble.