Уязвимости в цифровых продуктах — не такое редкое явление, многие производители ПО (в том числе и Atlassian) периодически отчитываются об их нахождении и методах исправления. Но тут важен не сам факт нахождения уязвимости, а методы дальнейшей работы с ней для минимизации потерь у клиентов.
На этот пост меня сподвигли четыре недавние уязвимости:
- CVE-2022-26134 Confluence Security Advisory 2022-06-02
- CVE-2022-26135 Jira Server Security Advisory 29nd June 2022
- CVE-2022-26136 Multiple Products Security Advisory 2022-07-20
- CVE-2022-26138 Questions For Confluence Security Advisory 2022-07-20
Вроде бы, целых четыре отчёта меньше чем за два месяца — пора бить тревогу, винить разработчиков, придумывать более жёсткие регламенты релизов и аналогичные карательные меры. Но практика часто подсказывает другие меры борьбы с уязвимостями.
Во-первых, уязвимости — это нормально. Они будут появляться, пока жив цифровой продукт. Кроме того, дата обнаружения уязвимости не всегда напрямую зависит от даты её создания разработчиком (некоторые из них могут жить годами, некоторые исправляются в следующем же релизе). Поэтому целых четыре уязвимости за два месяца говорит не столько о проблемах конкретных разработчиков в конкретное время, скорее сколько о всплеске интереса сообщества к поиску уязвимостей (например, первую уязвимость нашёл некто Volexity, опубликовал заметку в своём блоге, и получил справедливую похвалу от Atlassian).
Во-вторых, всегда важно время реакции и исправления со стороны Atlassian. Хотя бы на примере этих четырёх отчетов видно, что обходной путь исправления уязвимости появляется в день публикации отчёта, постоянное решение в новой версии — в течение нескольких дней, что довольно неплохо и даёт возможность защититься от потенциальных злоумышленников.
Открою небольшой секрет: за пару дней до открытой публикации отчёта о новой уязвимости, он появляется на закрытом партнёрском портале Atlassian и преследует ту же цель — обогнать злоумышленников (чтобы партнёры неформально могли предупредить клиентов об уязвимостях, давая им время подготовиться к исправлению, при этом с меньшим риском утечки информации злоумышленникам).
В-третьих, важна релизная политика производителя, чтобы клиенты могли оперативно обновиться и исправить уязвимости. Как вы наверное знаете, кроме регулярных релизов, у Atlassian есть Long term support — это те релизы, в минорных версиях которых добавляются важные исправления дефектов или тех же уязвимостей, при этом новые функции добавляются только в мажорных релизах. Понятно, что обновить Jira с версии 8.20.6 на 8.20.10 проще, чем с 8.20.6 на 8.22.4 и уж тем более с 8.20.6 на 9.1 — будет меньше нестыковок в новых функциях, зато уязвимости полностью исправятся.
Некоторые клиенты, у которых ещё остаются Server-инсталляции продуктов Atlassian, не теряют надежду после февраля 2024 года остаться на них, без обновления на Data Center. Но, как вы видите, это довольно опасно, т.к. в 2024 году прекратится не только выпуск обновлений, но и общая поддержка Server-продуктов.
Как резюме, я рекомендую сделать следующее для защиты от злоумышленников:
- следите в почте за новостями от Atlassian (нажмите Watch на странице с релизами Jira и других продуктов),
- попросите своего Atlassian-партнёра (которые продаёт вам лицензии) предупреждать об анонсах уязвимостей и необходимых мерах защиты,
- содержите свои продукты в актуальном состоянии (возможно, с использованием Long term support релизов).
И желаю всем, чтобы новые уязвимости появлялись как можно реже!