Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Mehrere Sicherheitslücken in Atlassian JIRA

Atlassian hat ges­tern einen Sicherheitshinweis zu vier Sicherheitslücken in JIRA ver­öf­fent­lich. Welche Systeme betrof­fen sind und wie Sie sich schüt­zen kön­nen lesen Sie im Folgenden.

Von den nun ver­öf­fent­lich­ten Sicherheitslücken wird Eine als “Critical” ein­ge­stuft, was dem höchs­ten Schweregrad in der von Atlassian defi­nier­ten Abstufung ent­spricht. Für diese Lücke wird ein Patch angeboten.

Weitere Sicherheitslücken las­sen sich durch ein Update auf JIRA 5.1 behe­ben, ein Patch hier­für steht nicht bereit.

Ausnutzen von Rechteausweitung

Durch das Ausnutzen die­ser Sicherheitslücke ist es Angreifern mög­lich, mit­tels spe­zi­ell prä­pa­rier­ten URLs Funktionen in JIRA aus­zu­lö­sen, die nur Administratoren zugäng­lich sind. Dies ist ohne akti­ven Account auf dem betref­fen­den System mög­lich. Eine beson­dere Gefahr besteht hier bei für Systeme, die frei im Internet erreich­bar sind.

Lösungsvorschläge

Atlassian emp­fiehlt ein Upgrade auf min­des­tens JIRA 5.0.7 oder aktu­el­ler um das Problem zu beheben.

Sollte dies nicht mög­lich sein, wurde für die jeweils aktu­ellste Version von JIRA 4.3, 4.4 und 5.0 ein Patch bereit­ge­stellt. Hierbei ist zu beach­ten, dass ggf. ein Update auf JIRA 4.3.4, JIRA 4.4.5 oder JIRA 5.0.6 durch­ge­führt wer­den muss, um den Patch zu nut­zen. Ein Update auf JIRA 5.0.7 oder aktu­el­ler ist jedoch immer zu empfehlen.

Unter Umständen soll­ten im Internet erreich­ba­rere Systeme bis zur Behebung vom Internet getrennt werden.

Weitere Sicherheitslücken

Drei wei­tere Sicherheitslücken mit dem Schweregrad "High" bzw. "Medium" betref­fen unter ande­ren Cross-Site-Scripting Lücken in JIRA die es einem poten­ti­el­len Angreifer erlau­ben, eige­nen JavaScript Code einzuschleusen.

Lösungsvorschläge

Für diese Lücken wer­den keine Patches ange­bo­ten, ledig­lich ein Update auf JIRA 5.1.1 wird emp­foh­len um alle diese Sicherheitslücken zu schlie­ßen. Einige die­ser Probleme betref­fen haupt­säch­lich im Internet erreich­bare JIRA Installationen.

Weitere Details zu den Sicherheitslücken kön­nen im Artikel von Atlassian gefun­den werden.

Related Posts

Pin It on Pinterest