JetBrains緊急修補TeamCity漏洞，但惹毛通報的資安廠商

捷克開發工具供應商JetBrains周二緊急修補旗下TeamCity平臺軟體二個重大，且已有濫用行為的漏洞，但是遭到通報資安廠商批評，軟體業者單方向修補漏洞未告知，已違反其安全政策，揚言公布漏洞細節。

JetBrains本周一修補其CI/CD工具TeamCity的CVE-2024-27198及CVE-2024-27199漏洞。兩漏洞是在2月中由Rapid7通報。其中CVE-2024-27198是TeamCity Web元件的驗證繞過漏洞，源於TeamCity的Web元件中的替代路徑，其CVSS風險值為9.8。CVE-2024-27199也是身份驗證繞過漏洞，源自於TeamCity的Web元件中的路徑遍歷問題（path traversal），CVSS風險值為7.3。本次漏洞影響TeamCity 2023.11.4以前的版本，JetBrains發布了軟體更新版本（TeamCity 2023.11.4）及修補程式外掛，也呼籲用戶更新軟體版本。

通常資安業者及軟體公司針對安全漏洞的新聞在此告一段落，但Rapid7卻對JetBrains漏洞修補未告知感到不滿。雙方在2月中首次取得聯繫，2月20日Rapid7提供二項漏洞的技術細節，也提及「協同揭露」（coordinated disclosure）的重要性，要求JetBrains提供修補時程、緩解方法及影響的軟體版本等資訊。但JetBrains反倒建議先暗中修補再公開漏洞資訊，這時Rapid7警告未告知修補是所謂「靜默修補」（silent patching）行為，違反其政策。

Rapid7的靜默修補是指，軟體業者對資安廠商通報的漏洞，在神不知鬼不覺情況下修補起來。不公開歸功於資安研究人員，隱藏漏洞技術細節、攻擊手法、也不發布漏洞編號，認為愈少人知道對用戶愈安全。但Rapid7指出，這種作法只會讓少部份攻擊者和惡意人士獨擁攻擊手法及防衛知識，反而陷大眾於險境。

在雙方溝通未果後，3月4日Rapid7發現JetBrains已發出安全公告發布軟體更新版本，即已在未告知情況下修補了漏洞。Rapid7指控JetBrains的靜默修補行為，揚言將在24小時內公布漏洞細節。當天Rapid7於是公布了漏洞技術細節。同一天JetBrains正式發布新的安全公告，包括漏洞編號及發布說明。

另一家資安業者Shadowserver偵測到，已經有針對TeamCity CVE-2024-27198漏洞的濫用程式，目前已掃瞄到16個來源IP位址。

JetBrains表示，公司政策一般保留不公開技術細節，讓客戶有時間部署防護。該公司提供2項方案，一是升級TeamCity伺服器到2023.11.4版本，二是修補程式外掛，供來不及安裝修補程式的用戶安裝。