Gestern hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke veröffentlicht. Atlassian stuft die Sicherheitslücke als "Critical" ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht. Im konkreten Fall bedeutet dies, dass ein Angreifer, der einen gültigen JIRA Account hat, beliebige Dateien auf dem JIRA Server überschreiben kann für die der Betriebssystemnutzer, unter dem JIRA läuft, Schreibberechtigung hat. Damit könnte der Angreifer z.B. beliebigen Java Code im Kontext des JIRA Servers ausführen. Betroffen sind alle JIRA Versionen bis einschließlich 5.1.4.
Da der Angriff über die SOAP API erfolgen muss, kann diese zur Risikominderung deaktiviert werden. Allerdings kann dies, vor allem bei älteren JIRA Versionen, zu Einschränkungen bei einigen Funktionalitäten führen. Weitere Details dazu können im Artikel unter "Risk Mitigation" gefunden werden.
Will man die SOAP-API weiterhin verwenden, bleibt also nur das Einspielen eines Fixes. Atlassian empfiehlt dazu ein Upgrade auf die aktuellste JIRA Version (5.2.x). Für für zwei ältere Versionen stehen auch Patches bereit.
Weitere Details zur Sicherheitslücke können im Artikel von Atlassian gefunden werden.