Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücke im HipChat Plugin für Bitbucket Server, Confluence and JIRA

Atlassian hat heute einen Hinweis zu einer kri­ti­schen Sicherheitslücke für das HipChat Plugin ver­öf­fent­licht. Folgende Produkte, die das HipChat Plugin nut­zen, sind betrof­fen: Bitbucket, Confluence und die JIRA Produkte.

Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht.

Problembeschreibung

Die Sicherheitslücke erlaubt es den Angreifer, unter ver­schie­de­nen Bedingungen auf den unter­schied­li­chen Produkten, die volle Kontrolle über die HipChat Instanz zu bekom­men. Die Voraussetzungen dazu sind bei den Produkten recht unter­schied­lich:

Bitbucket

  • Der Angreifer muss Admin Zugriff zum Bitbucket Server haben

Confluence

  • Der Angreifer benö­tigt Zugriff zu einem Confluence Account, der fol­gende Berechtigungen besitzt:
    • Berechtigung einen Bereich zu erstel­len (Das ist die Standardberechtigung für alle Nutzer!)
    • Bereichsadmin Berechtigung für einen belie­bi­gen Bereich
    • Confluence Administrator oder System Administrator

JIRA

  • Der Angreifer benö­tigt Zugriff zu einem JIRA Account
  • In JIRA Versionen vor 7.0.0, z.B. 6.4.x, reicht es aus dass der Angreifer auf das Webinterface von JIRA zugrei­fen kann.

Der Sicherheitshinweis von Atlassian

Eine genaue Beschreibung der Lücke ist unter fol­gen­den Links zu fin­den:

Problemlösung

Atlassian emp­fiehlt die Aktualisierung der Software auf die nach­fol­gend genann­ten Versionen oder neuer:

Bitbucket

  • Aktualisieren Sie den Bitbucket Server auf Version 4.9.0 oder höher
  • Wenn Sie nicht auf Version 4.9.0 aktua­li­sie­ren kön­nen, dann nut­zen Sie eine der fol­gen­den Bugfix Versionen: 4.4.4, 4.5.3, 4.6.4, 4.7.2, 4.8.4

Confluence

  • Aktualisieren Sie Confluence auf Version 5.10.4 oder höher
  • Wenn Sie Confluence 5.9.x instal­liert haben und nicht auf Confluence 5.10.4 aktua­li­sie­ren kön­nen, dann aktua­li­sie­ren Sie auf Version 5.9.14

JIRA

  • Aktualisieren Sie JIRA auf Version 7.2.0 oder höher
  • Wenn Sie JIRA 7.1.x instal­liert haben und nicht auf JIRA 7.2.0 aktua­li­sie­ren kön­nen, dann aktua­li­sie­ren Sie auf Version 7.1.10
  • Wenn Sie JIRA 7.0.x instal­liert haben und nicht auf JIRA 7.2.0 oder 7.1.10 aktua­li­sie­ren kön­nen, dann aktua­li­sie­ren Sie auf 7.0.11

Sollte es Ihnen nicht mög­lich sein Bitbucket, Confluence oder JIRA zu aktua­li­sie­ren, dann wird als Workaround emp­foh­len, das HipChat Plugin zu deinstal­lie­ren oder zu deak­ti­vie­ren.

Wir sind da

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benö­ti­gen. Wir sind lang­jäh­ri­ger Partner von Atlassian und unter­stüt­zen Sie eben­falls gern bei der Lizenzierung.

Related Posts

Pin It on Pinterest