Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücke in JIRA

Gestern hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke ver­öf­fent­licht. Atlassian stuft die Sicherheitslücke als "Critical" ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Im kon­kre­ten Fall bedeu­tet dies, dass ein Angreifer, der einen gül­ti­gen JIRA Account hat, belie­bige Dateien auf dem JIRA Server über­schrei­ben kann für die der Betriebssystemnutzer, unter dem JIRA läuft, Schreibberechtigung hat. Damit könnte der Angreifer z.B. belie­bi­gen Java Code im Kontext des JIRA Servers aus­füh­ren. Betroffen sind alle JIRA Versionen bis ein­schließ­lich 5.1.4.

Da der Angriff über die SOAP API erfol­gen muss, kann diese zur Risikominderung deak­ti­viert wer­den. Allerdings kann dies, vor allem bei älte­ren JIRA Versionen, zu Einschränkungen bei eini­gen Funktionalitäten füh­ren. Weitere Details dazu kön­nen im Artikel unter "Risk Mitigation" gefun­den wer­den.

Will man die SOAP-API wei­ter­hin ver­wen­den, bleibt also nur das Einspielen eines Fixes. Atlassian emp­fiehlt dazu ein Upgrade auf die aktu­ellste JIRA Version (5.2.x). Für für zwei ältere Versionen ste­hen auch Patches bereit.

Weitere Details zur Sicherheitslücke kön­nen im Artikel von Atlassian gefun­den wer­den.

Related Posts

Pin It on Pinterest