Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücken in Atlassian-Produkten

Heute hat Atlassian meh­rere Hinweise zu kri­ti­schen Sicherheitslücken für die Produkte Confluence, JIRA, Stash, Crucible, Fisheye und Bamboo ver­öf­fent­licht. Crowd ist nicht betroffen.

Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht.

Problembeschreibung

Alle genann­ten Produkte sind von einer Sicherheitslücke betrof­fen, wel­che es (anony­men) Angreifern erlaubt Aktionen im Namen ande­rer Nutzer aus­zu­füh­ren. Das Problem betrifft sowohl Systeme die aus dem Internet und Intranet ver­füg­bar sind.

Die Sicherheitshinweise

Eine genaue Beschreibung der Lücken für die ein­zel­nen Produkte ist unter fol­gen­den Links zu finden:

Problemlösung

Atlassian emp­fiehlt die Aktualisierung der Software auf die fol­gen­den Versionen oder neuer. Sollte eine Aktualisierung nicht mög­lich sein, dann ist es mög­lich für einige der Produkte Patches für ältere Versionen einzuspielen:

  • Confluence: 5.4.3 (Patches für ältere Versionen sind verfügbar)
  • JIRA: 6.1.4  (Patches für ältere Versionen sind ver­füg­bar, ein Update auf 6.1.6 kann u.U. Probleme mit 1000 und mehr Projekten verursachen)
  • Fisheye und Crucible: 2.10.8, 3.1.6, 3.2.0 (Es sind keine Patches für ältere Versionen verfügbar)
  • Bamboo: 5.2.2 (Patches für ältere Versionen sind verfügbar)
  • Stash: 2.5.4, 2.6.5, 2.7.6, 2.8.4 (Es sind keine Patches für ältere Versionen verfügbar)

Weitere Lücken in Jira

Für JIRA gibt es zwei zusätz­li­che Sicherheitshinweise.

Die Probleme 1 und 2 betref­fen ledig­lich  Anwender, wel­che JIRA unter Windows betrei­ben und wur­den bereits in JIRA 6.0.5 beho­ben. Diese erlau­ben es Angreifern belie­bige Dateien inner­halb des JIRA-Installationsordners anzulegen.

Problemlösung

A. Upgrade auf aktu­el­les JIRA

Alle Probleme las­sen sich durch ein Upgrade auf die aktu­ellste Version von JIRA beheben.

B. Aktualisierung der betrof­fe­nen Plugins (nur Problem 1 und 2)

Die ers­ten bei­den Probleme las­sen sich außer­dem durch die Aktualisierung der Plugins "JIRA Issue Collector" und "JIRA Importer" behe­ben.

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen.

Related Posts

Pin It on Pinterest