Gestern hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke veröffentlicht. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht. Im konkreten Fall bedeutet dies, dass ein Angreifer, der einen gültigen JIRA Account hat, beliebige Dateien auf dem JIRA Server überschreiben kann für die der Betriebssystemnutzer, unter dem JIRA läuft, Schreibberechtigung hat. Damit könnte der Angreifer z.B. beliebigen Java Code im Kontext des JIRA Servers ausführen. Betroffen sind alle JIRA Versionen bis einschließlich 5.1.4.

Da der Angriff über die SOAP API erfolgen muss, kann diese zur Risikominderung deaktiviert werden. Allerdings kann dies, vor allem bei älteren JIRA Versionen, zu Einschränkungen bei einigen Funktionalitäten führen. Weitere Details dazu können im Artikel unter “Risk Mitigation” gefunden werden.

Will man die SOAP-API weiterhin verwenden, bleibt also nur das Einspielen eines Fixes. Atlassian empfiehlt dazu ein Upgrade auf die aktuellste JIRA Version (5.2.x). Für für zwei ältere Versionen stehen auch Patches bereit.

Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Confluence veröffentlicht. Dabei handelt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweithöchsten Schweregrad in der von Atlassian definierten Abstufung entspricht. Im konkreten Fall kann ein Angreifer eigenes JavaScript auf einer Confluence Website einbetten.

Betroffen sind alle Confluence Versionen bis einschließlich Confluence 4.1.7. Atlassian empfiehlt ein Upgrade auf die aktuellste Confluence Version, mindestens jedoch Version 4.1.9. Einen Patch gibt es nicht.

Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.

Atlassian hat diese Woche einen Hinweis zu einer Sicherheitslücke in Stash veröffentlicht. Dabei handelt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweithöchsten Schweregrad in der von Atlassian definierten Abstufung entspricht. Im konkreten Fall kann ein Angreifer eigenes JavaScript auf einer Stash Website einbetten.

Atlassian empfiehlt ein Upgrade auf die aktuellste Stash Version, aktuell ist dies Version 1.1.2. Einen Patch für ältere Versionen gibt es nicht.

Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.

Zusätzlich zum Hinweis über mehrere Sicherheitslücken in JIRA hat Atlassian diese Woche einen Hinweis zu einer Sicherheitslücke in Bamboo veröffentlicht. Das Ausnutzen dieser Lücke kann es Angreifern unter bestimmten Konstellationen erlauben Java Code in die Bamboo JVM einzuschleusen und mit den Rechten des JVM-Nutzers auf dem Server auszuführen. Atlassian stuft die Sicherheitslücke als “Critical” ein, was dem höchsten Schweregrad in der von Atlassian definierten Abstufung entspricht.

Da alle Bamboo Versionen bis einschließlich Version 4.0.1 betroffen sind, empfiehlt Atlassian ein Upgrade auf mindestens die Version 4.0.2. Ein Patch für ältere Versionen von Bamboo existiert ab Version 3.0 und neuer.

Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.

Zusätzlich zum Hinweis über eine Sicherheitslücke in FishEye und Crucible hat Atlassian heute einen Hinweis zu einer Sicherheitslücke in GreenHopper veröffentlicht. Dabei handelt es sich um eine Anfälligkeit gegen Cross-Site-Scripting. Atlassian stuft die Sicherheitslücke als “High” ein, was dem zweithöchsten Schweregrad in der von Atlassian definierten Abstufung entspricht. Im konkreten Fall kann ein Angreifer eigenes JavaScript auf einer GreenHopper-Seite einbetten.

Atlassian empfiehlt ein Upgrade auf die aktuellste GreenHopper-Version, mindestens aber auf Version 5.9.8, in der das Problem behoben ist. Einen Patch für ältere Versionen gibt es nicht.

Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.