Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Kritische Sicherheitslücke bei Atlassian Jira Service Desk

In diesem Blogbeitrag finden Sie alle wichtigen Informationen zur Sicherheitslücke bei Atlassian Jira Service Desk und welche Maßnahmen Sie ergreifen sollten.

< < zurück zur Blogübersicht

Heute hat Atlassian einen Hinweis zu einer kri­ti­schen Sicherheitslücke für das Produkt Jira Service Desk ver­öf­fent­licht.

Es wur­den Sicherheitsanfälligkeiten mit kri­ti­schem Schweregrad in Jira Service Desk Server sowie Jira Service Desk Data Center für fol­gende Versionen auf­ge­deckt:

    • Alle Versionen vor 3.9.16
    • 3.10.x
    • 3.11.x
    • 3.12.x
    • 3.13.x
    • 3.14.x
    • 3.15.x
    • 3.16.x vor 3.16.8 (feh­ler­be­ho­bene Version für 3.16.x)
    • 4.0.x
    • 4.1.x vor 4.1.3 (feh­ler­be­ho­bene Version für 4.1.x)
    • 4.2.x vor 4.2.5 (feh­ler­be­ho­bene Version für 4.2.x)
    • 4.3.x vor 4.3.4 (feh­ler­be­ho­bene Version für 4.3.x)
    • 4.4.x vor 4.4.1 (feh­ler­be­ho­bene Version für 4.4.x)

Für Kunden, die Jira Cloud benut­zen, besteht kein Handlungsbedarf.

Problembeschreibung

Per Design fest­ge­legt, wird im Jira Service Desk Nutzern des Kundenportals die Berechtigung erteilt Anfragen zu erstel­len und Probleme anzu­zei­gen. Auf diese Weise kön­nen die Nutzer mit dem Kundenportal inter­agie­ren, ohne direk­ten Zugriff auf das Jira System zu haben. Diese Einschränkungen kön­nen jedoch von einem Angreifer mit Portalzugriff umgan­gen wer­den, da er eine Schwachstelle bei der Pfaderstellung aus­nutzt.

Bitte beach­ten Sie, dass Angreifer sich selbst Zugang zu Jira Service Desk-Projekten gewäh­ren könn(t)en, bei denen die Einstellung aktiv ist, wo jeder eine E‑Mail an den Service Desk sen­den oder eine Anfrage stel­len kann.

Die erfolg­rei­che Ausnutzung der o.g. Schwachstelle ermög­licht es einem Angreifer, alle Issues inner­halb aller Jira-Projekte, die in der gefähr­de­ten Instanz ent­hal­ten sind, anzu­zei­gen. Dies kann Jira Service Desk-Projekte, Jira Core Projekte und Jira Software Projekte beinhal­ten.

Das Problem betrifft die Systeme, die aus dem Internet und Intranet ver­füg­bar sind.

Die Sicherheitshinweise

Eine genaue Beschreibung der Lücken und eines Workarounds für Jira Service Desk ist unter fol­gen­dem Link zu fin­den:

Problemlösung

Atlassian emp­fiehlt die Aktualisierung der Software auf fol­gende (fixed) Versionen:
  • 3.9.16  (Empfehlung geht jedoch zu 3.16.8)
  • 3.16.8
  • 4.1.3
  • 4.2.5
  • 4.3.4
  • 4.4.1

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benö­ti­gen. 

Als Atlassian Platinum Solution Partner unter­stüt­zen wir Sie dabei gern.

 

Related Posts

Pin It on Pinterest