Разработчики: | Atlassian |
Дата последнего релиза: | 2020/10/16 |
Технологии: | EAP - Enterprise Agile Planning, Системы управления проектами |
Содержание |
Основная статья: Управление ИТ-проектами
Atlassian JIRA – приложение для локализации ошибок, отслеживания проблем и управления проектом, разработанное с целью облегчения этих процессов.Особенности JIRA
- Управление ошибками, возможностями, задачами, усовершенствованиями или любой проблемой.
- Простой и мощный пользовательский интерфейс, предназначенный как для деловых, так и для технических пользователей.
- Отслеживание изменений, компонентов и версий.
- Полная система поиска текста и мощного фильтрования.
- Настраиваемые панели управления и статистика в реальном времени.
- Управление корпоративными правами доступа и безопасностью.
- Легко расширяется и интегрируется с другими системами (включая электронную почту, RSS, Excel, XML и управление исходниками).
- Запускается почти на любых аппаратных средствах, операционных системах и платформах баз данных.
2024: Хакер выставил на продажу за 11 млн рублей эксплойт для таинственной уязвимости в Jira и Confluence
На одном из хакерских форумов пользователь с ником IntelBroker в середине июня объявил о продаже эксплойта для неизвестной (0-day) уязвимости в продуктах компании Atlassian Jira и Confluence. Для уязвимости нет не только исправлений, но и сами сведения о ней пока не публикуются. Подробности
2023
ФСТЭК предупредил об опасной уязвимости в Jira
Федеральная служба по техническому и экспортному контролю в декабре 2023 года предупредила, что в инструменте для организации разработки Jira компании Atlassian обнаружена опасная уязвимость. Её код в БДУ ФСТЭК BDU:2023-08497[1], а опасность оценивается как 9,8 из 10 по методологии CVSS. «Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём подмены сервера приложений (реализации спуфинг-атаки)», – предупреждает ФСТЭК.
Уязвимости подвержены агенты таких инструментов управления Atlassian как Jira Service Management DC&Server (версии с 1.0 по 3.1.11) и Cloud по версию 6.1.14. Опасность связана с тем, что агенты, используемые совместно с этими продуктами, недостаточно надёжно проверяют подлинности управляющего сервера. Поэтому у нападающего появляется возможность выдать свой сервер управления за легитимный и заставить агента выполнить вредоносные команды постороннего.Витрина данных НОТА ВИЗОР для налогового мониторинга
Хотя компания Atlassian больше не работает с российскими пользователям, тем не менее достаточно много ее продуктов по-прежнему установлены у российских компаний. В частности, поисковая система Netlas показывает, что она обнаружила на территории России порядка 1,3 тыс. серверов Jira, что по распространению этого продукта в мире находится на третьем месте. Россия по популярности Jira уступает только США (3,1 тыс. серверов) и Германии (2,9 тыс. серверов).
Однако для российских пользователей существует проблема установки обновлений – указанные уязвимости исправлены в версиях 3.2 для DC&Server и 6.2 для Cloud. Сами разработчики для устранения уязвимостей рекомендуют[2] как можно быстрее обновить уязвимые продукты до безопасных версий. Причем вначале нужно удалить уязвимые агенты, затем установить обновление и только потом установить новые версии агентов. Рекомендации же ФСТЭК следующие:
В связи со сложившейся обстановкой и введенными санкциями против РФ рекомендуется устанавливать обновления ПО только после оценки всех сопутствующих рисков. Компенсирующие меры: удаление агентов обнаружения активов Assets Discovery; ограничение доступа к 51337-порту; использование средств межсетевого экранирования для ограничения возможности удалённого доступа. |
Утечка данных Beeline
В начале марта 2023 года появилась информация о том, что злоумышленники выложили базу данных, содержащую 1,5 Гб данных Beeline. Информация была украдены из учетной записи компании в сервисе Jira. Подробнее здесь.
2021
Предупреждение о возможных рисках ошибочных конфигураций
Компания Varonis 3 декабря 2021 года сообщила о том, что что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.
В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.
Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.
Jira – сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.
Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.
Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов, – сказал Даниэль Гутман, глава Varonis в России. |
Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.
Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).
Включение в квадрант Gartner
Последние годы все большее число компаний используют Agile для управления разработкой. Как показал отчет State of Agile 2021, подготовленный компанией Digital.ai, в 2021 году был зафиксирован взрывной рост внедрения этой методологии «с 37% в 2020 до 86% в 2021, а в ИТ - с 26% до 60% соответственно. Как отметили эксперты Gartner: «Пандемия потребовала от компаний быстрого внедрения новых процессов, практик и технологий для поддержки изменений в способе доставки продуктов и услуг». В число лидеров вошла компания Atlassian с решением Jira. Подробнее здесь.
2020: Устранение уязвимости, позволяющей получить конфиденциальную информацию о пользователях
Эксперт Positive Technologies Михаил Ключников выявил уязвимость в компонентах Jira — системы для отслеживания ошибок, организации взаимодействия с пользователями и управления проектами. Об этом PT сообщила 16 октября 2020 года.
Уязвимость позволяла получить конфиденциальную информацию о пользователях системы. Продукты разработчика Jira — компании Atlassian — на октябрь 2020 года применяют 170 тыс. клиентов более чем в 190 странах.
Подобные уязвимости существенно экономят время атакующему: они дают возможность определить наличие учетной записи с тем или иным логином в системе, — рассказал Михаил Ключников. — Путем перебора различных логинов выясняется, какие пользователи присутствуют в системе. Если логина нет, система об этом сообщит, если есть — выдаст еще и персональные данные (если они в систему занесены). После перебора существующих логинов, атакующий мог перейти к подбору паролей к каждому существующему пользователю. В отсутствие этой уязвимости злоумышленнику приходится вслепую осуществлять брутфорс паролей к логинам, которых может и не быть в системе. Уязвимость уменьшает трудозатраты хакера и снижает вероятность обнаружения атаки, что в конечном счете делает мишень более привлекательной для хакера. И поэтому мы настоятельно рекомендуем обновиться. |
Недостаток безопасности получил идентификатор CVE-2020-14181 и оценку 5,3, что соответствует среднему уровню опасности. Причина возникновения ошибки связана с возможностью обращаться к определенному сценарию любому неавторизованному пользователю. Уязвимость затронула Jira Server и Data Center. Компания опубликовала обновления, в которых данная ошибка исправлена. Уязвимость устранена в 7.13.6, 8.5.7 и 8.12.0 версиях продуктов.
2017: Microsoft Project + Atlassian Jira
Основная статья: Системный софт: Стек решений для управления проектами
18 сентября 2017 года компания «Системный софт» представила стек решений для управления проектами, в котором представлены системы управления проектами Microsoft Project и Atlassian Jira. Предложение призвано помочь в формировании единой среды, одинаково удобной как для руководства компаний, менеджеров проектов и экономистов, так и для команды разработчиков.
2012
JIRA 5.2
- Особенности нового навигатора JIRA 5.2 делают поиск более мощным и быстрым (без перезагрузки страницы);
- Фоновая индексация;
- Новые характеристики и настройки инструментов;
- Внедрение webhooks уведомлений.
JIRA 5.1 EAP 1
JIRA 5.1 EAP 1 (или milestone 2, или 'm2') – это публичный релиз новой готовящейся версии продукта JIRA 5.1. Релиз позволяет пользователям JIRA заглянуть наперед в функционал готовящегося к выпуску глобального обновления продукта. Данный релиз также дает возможность разработчикам дополнительных модулей под JIRA проверить свои модули на совместимость с новой версией продукта.
Новые возможности JIRA 5.1 по данным на 2012 год:
- Быстрое редактирование заявок;
- Отмена перерисовки страниц при операциях над заявками;
- Улучшенная общая производительность продукта;
- Более удобное редактирование рабочего процесса (workflow);
- Быстрое добавление пользователей в JIRA посредством механизма рассылки специальных приглашений;
- Упрощенное создание связей между заявками;
- Автоподписка и слежение создателя заявок за своими заявками;
- Возможность тестирования и отладки базы данных JIRA.
Подрядчики-лидеры по количеству проектов
Адванта Консалтинг (Advanta) (178)
Проектная практика (99)
БизнесАвтоматика НПЦ (81)
Extyl (Экстил) (51)
Elma (Элма, Интеллект Лаб, Практика БПМ) (46)
Другие (853)
Адванта Консалтинг (Advanta) (19)
Проектная практика (11)
Факт (ЦИТ Факт, Центр интернет-технологий Факт) (7)
Extyl (Экстил) (7)
IFellow (АйФэлл) (3)
Другие (50)
Адванта Консалтинг (Advanta) (25)
Витро Софт (Vitro Software) (12)
Проектная практика (7)
Directum (Директум) (6)
ITLand Group (АйТиЛенд-Софт) (4)
Другие (47)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Адванта Консалтинг (Advanta) (2, 183)
1С-Битрикс (2, 166)
Directum (Директум) (2, 114)
Microsoft (6, 87)
БизнесАвтоматика НПЦ (2, 81)
Другие (296, 584)
Адванта Консалтинг (Advanta) (1, 19)
1С-Битрикс (1, 19)
Directum (Директум) (1, 12)
Проектная практика (1, 11)
ITLand Group (АйТиЛенд-Софт) (2, 4)
Другие (22, 33)
Адванта Консалтинг (Advanta) (1, 25)
Directum (Директум) (1, 15)
Витро Софт (Vitro Software) (2, 12)
1С-Битрикс (1, 12)
Проектная практика (1, 7)
Другие (12, 25)
Directum (Директум) (1, 44)
1С-Битрикс (1, 21)
Адванта Консалтинг (Advanta) (1, 20)
Carbon Soft (Карбон Софт) EvaTeam (1, 14)
Витро Софт (Vitro Software) (2, 5)
Другие (11, 15)
Directum (Директум) (1, 29)
1С-Битрикс (1, 17)
БизнесАвтоматика НПЦ (2, 7)
Адванта Консалтинг (Advanta) (1, 3)
ITLand Group (АйТиЛенд-Софт) (2, 2)
Другие (8, 10)
Распределение систем по количеству проектов, не включая партнерские решения
Advanta (Адванта) - система управления проектами - 183
1С-Битрикс24 - 165
Directum Projects - 113
Visary Project Система управления портфелем проектов - 80
ПМ Форсайт (PPMPlus) - 66
Другие 597
Advanta (Адванта) - система управления проектами - 19
1С-Битрикс24 - 19
Directum Projects - 12
ПМ Форсайт (PPMPlus) - 11
Atlassian JIRA - 4
Другие 32
Advanta (Адванта) - система управления проектами - 25
Directum Projects - 15
1С-Битрикс24 - 12
Vitro-CAD online (ранее Vitro Park) - 10
ПМ Форсайт (PPMPlus) - 7
Другие 27
Подрядчики-лидеры по количеству проектов
Carbon Soft (Карбон Софт) EvaTeam (22)
Системный софт (Сиссофт, SysSoft) (4)
IFellow (АйФэлл) (4)
Pingwin Software (Пингвин софтвер) (3)
Teamlead (Тимлид) (2)
Другие (6)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Carbon Soft (Карбон Софт) EvaTeam (1, 22)
Atlassian (2, 18)
Odyssey Consulting Group (ранее Columbus East) (1, 1)
Planview (2, 0)
Broadcom (ранее Avago) (2, 0)
Другие (1, 0)