TeamCity On-Premises 安全问题,请立即更新到 2023.05.4

原创
2023/10/09 10:24
阅读数 22


概要


  • TeamCity On-Premises 中最近发现了一个严重的安全问题。(最初由 Sonar 团队发现并报告给我们)。

  • 此严重安全漏洞已获得 CVE 标识符 CVE-2023-42793,弱点为 CWE-288

  • 此漏洞可能使未经身份验证的攻击者能够通过 HTTP(S) 访问 TeamCity 服务器,执行远程代码执行 (RCE) 攻击并获得 TeamCity 服务器的管理控制权。

  • 此漏洞已在 2023.05.4 版本中修正。

  • 我们希望所有用户都将其服务器更新到最新版本。

  • 我们也为无法更新的用户发布了一个安全补丁插件(详细信息如下)。


详细信息


TeamCity On-Premises 中最近发现了一个严重的安全问题。如果被滥用,此缺陷可能使未经身份验证的攻击者能够通过 HTTP(S) 访问 TeamCity 服务器,执行远程代码执行 (RCE) 攻击并获得 TeamCity 服务器的管理控制权。


TeamCity On-Premises 的所有版本均受此严重安全漏洞的影响。它已获得 CVE 标识符 CVE-2023-42793,弱点为 CWE-288(使用替代路径或通道绕过身份验证)。此问题不会影响 TeamCity Cloud,我们已经将 TeamCity Cloud 服务器升级到最新版本。


我们已在 2023.05.4 版本中修正此漏洞,并已通知客户。我们也将尽快发布此漏洞的其他技术细节。同时,我们强烈建议 TeamCity On-Premises 的所有用户都将服务器更新到 2023.05.4 以缓解这一问题。


要更新服务器,请下载最新版本 (2023.05.4) 或使用 TeamCity 内的自动更新选项。


如果您无法将服务器更新到 2023.05.4,我们也发布了安全补丁插件,因此您仍然可以修补环境。可通过以下链接之一下载安全补丁插件并安装在 TeamCity 8.0+ 上。它将修补上述特定 RCE 漏洞。对于 TeamCity 2019.2 及更高版本,无需重新启动 TeamCity 服务器即可启用插件。对于 2019.2 之前的版本,安装插件后需要重新启动服务器。


安全补丁插件:适用于 TeamCity 2018.2 到 2023.05.3 | 适用于 TeamCity 8.0 到 2018.1


重要提示:安全补丁插件仅解决上述 RCE 漏洞。我们始终建议用户将服务器升级到最新版本,以受益于更多安全更新。


如果您的服务器可通过互联网公开访问,但您无法立即执行上述缓解措施,那么我们建议暂时使服务器不可访问,直到缓解措施完成。


最近修正的安全问题的完整列表位于 JetBrains 网站的修正的安全问题页面上。您还可以通过电子邮件订阅接收有关所有 JetBrains 产品修正的通知。



常见问题解答


受影响的版本有哪些?


修补版本 (2023.05.4) 之前的所有版本均受此问题影响。我们建议尽快升级。


TeamCity Cloud 受影响吗?


此问题不会影响 TeamCity Cloud,我们已经将 TeamCity Cloud 服务器升级到最新版本。


是否可以将修正向后移植

到我们的版本? 


我们目前不考虑向后移植。请注意,我们发布的插件可以缓解此问题,并且与 TeamCity 8.0+ 兼容。



支持


如果您对此问题有任何疑问或遇到升级问题,请提交工单联系 TeamCity 支持团队。


本博文英文原作者:Yegor Naumov


直播预约 | JetBrains GameDev Day 2023


2023 年  10 月 13 日(星期五),JetBrains 将举办 GameDev Day 2023 活动,邀请来自不同领域的 11 位专家发表演讲、主持讨论,分享制作最佳游戏的专业技巧。活动将探讨游戏测试、CI/CD、Unity 的 DOTS 以及 Apple Vision Pro 开发等多个主题。

届时,我们将在视频号、B站同步转播此活动,并提供同传双语字幕。欢迎准时收看!





TeamCity 相关阅读

关于 TeamCity

TeamCity 是一款强大的持续集成和部署服务器,面向以 DevOps 为中心的团队提供开箱即用的测试智能、构建问题的实时报告以及无与伦比的可扩展性。安装和部署 TeamCity,几分钟之内即可开始构建您的 DevOps 管道。TeamCity 提供本地部署和基于云的版本。

进一步了解 TeamCity

⏬ 戳「阅读原文」了解更多信息

本文分享自微信公众号 - JetBrains(JetBrainsChina)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部