Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücken in Atlassian-Produkten

Heute hat Atlassian meh­rere Hinweise zu kri­ti­schen Sicherheitslücken für die Produkte Confluence, JIRA, Stash, Crucible, Fisheye und Bamboo ver­öf­fent­licht. Crowd ist nicht betrof­fen.

Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchst­mög­li­chen Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht.

Problembeschreibung

Alle genann­ten Produkte sind von einer Sicherheitslücke betrof­fen, wel­che es (anony­men) Angreifern erlaubt Aktionen im Namen ande­rer Nutzer aus­zu­füh­ren. Das Problem betrifft sowohl Systeme die aus dem Internet und Intranet ver­füg­bar sind.

Die Sicherheitshinweise

Eine genaue Beschreibung der Lücken für die ein­zel­nen Produkte ist unter fol­gen­den Links zu fin­den:

Problemlösung

Atlassian empfiehlt die Aktualisierung der Software auf die folgenden Versionen oder neuer. Sollte eine Aktualisierung nicht möglich sein, dann ist es möglich für einige der Produkte Patches für ältere Versionen einzuspielen:

  • Confluence: 5.4.3 (Patches für ältere Versionen sind ver­füg­bar)
  • JIRA: 6.1.4  (Patches für ältere Versionen sind ver­füg­bar, ein Update auf 6.1.6 kann u.U. Probleme mit 1000 und mehr Projekten ver­ur­sa­chen)
  • Fisheye und Crucible: 2.10.8, 3.1.6, 3.2.0 (Es sind keine Patches für ältere Versionen ver­füg­bar)
  • Bamboo: 5.2.2 (Patches für ältere Versionen sind ver­füg­bar)
  • Stash: 2.5.4, 2.6.5, 2.7.6, 2.8.4 (Es sind keine Patches für ältere Versionen ver­füg­bar)

Weitere Lücken in Jira

Für JIRA gibt es zwei zusätz­li­che Sicherheitshinweise.

Die Probleme 1 und 2 betref­fen ledig­lich  Anwender, wel­che JIRA unter Windows betrei­ben und wur­den bereits in JIRA 6.0.5 beho­ben. Diese erlau­ben es Angreifern belie­bige Dateien inner­halb des JIRA-Installationsordners anzu­le­gen.

Problemlösung

A. Upgrade auf aktuelles JIRA

Alle Probleme las­sen sich durch ein Upgrade auf die aktu­ellste Version von JIRA behe­ben.

B. Aktualisierung der betroffenen Plugins (nur Problem 1 und 2)

Die ers­ten bei­den Probleme las­sen sich außer­dem durch die Aktualisierung der Plugins "JIRA Issue Collector" und "JIRA Importer" behe­ben.

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen.

Related Posts

Pin It on Pinterest