Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücke bei Atlassian Jira Service Desk

Heute hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke für das Produkt Jira Service Desk ver­öf­fent­licht.

Es wur­den Sicherheitsanfälligkeiten mit kri­ti­schem Schweregrad in Jira Service Desk Server sowie Jira Service Desk Data Center für fol­gende Versionen auf­ge­deckt:

  • Alle Versionen vor 3.9.17
  • 3.10.x
  • 3.11.x
  • 3.12.x
  • 3.13.x
  • 3.14.x
  • 3.15.x
  • 3.16.x vor 3.16.10 (feh­ler­be­ho­bene Version für 3.16.x)
  • 4.0.x
  • 4.1.x
  • 4.2.x vor 4.2.6 (feh­ler­be­ho­bene Version für 4.2.x)
  • 4.3.x vor 4.3.5 (feh­ler­be­ho­bene Version für 4.3.x)
  • 4.4.x vor 4.4.3 (feh­ler­be­ho­bene Version für 4.4.x)
  • 4.5.x vor 4.5.1 (feh­ler­be­ho­bene Version für 4.5.x)

Für Kunden, die Jira Cloud benut­zen, besteht kein Handlungsbedarf.

Problembeschreibung

Ein Feature von Jira Service Desk ist es, Kundenportal-Nutzern das Erstellen und Einsehen von Anfragen und Problemen zu ermög­li­chen, ohne ihnen direk­ten Zugriff auf das Jira-System zu geben. Diese Einschränkungen kön­nen jedoch von einem Angreifer mit Portalzugriff umgan­gen wer­den, indem die­ser eine Schwachstelle bei der Pfaderstellung aus­nutzt.

Bitte beach­ten Sie, dass Angreifer sich selbst Zugang zu Jira Service Desk Projekten gewäh­ren könn(t)en, bei denen die Einstellung "Jeder kann dem Servicedesk eine E‑Mail schi­cken oder im Portal eine Anfrage stel­len" aktiv ist.

Die erfolg­rei­che Ausnutzung der o.g. Schwachstelle ermög­licht es einem Angreifer, alle Vorgänge aller Jira-Projekte, die in der gefähr­de­ten Instanz exis­tie­ren, anzu­zei­gen. Dies beinhal­tet Projekte vom Typ Service Desk, Business und Software.

Das Problem betrifft sowohl Systeme, die aus dem Internet erreich­bar sind, als auch nur im Intranet ver­füg­bare.

Die Sicherheitshinweise

Eine genaue Beschreibung der Lücken und eines Workarounds für Jira Service Desk ist unter fol­gen­dem Link zu fin­den:

Problemlösung

Atlassian emp­fiehlt die Aktualisierung der Software auf fol­gende Versionen, bei denen die Sicherheitslücke gefixt ist:
  • 3.9.17
  • 3.16.10
  • 4.2.6
  • 4.3.5
  • 4.4.3
  • 4.5.1

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benö­ti­gen. 

Als Atlassian Platinum Solution Partner unter­stüt­zen wir Sie dabei gern!

Related Posts

Pin It on Pinterest