Heute hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke für das Produkt Jira veröffentlicht.
Es wurden Sicherheitsanfälligkeiten mit kritischem Schweregrad in Jira Server sowie Jira Data Center für folgende Versionen aufgedeckt:
- 4.4.x
- 5.x.x
- 6.x.x
- 7.0.x – 7.5.x
- 7.6.x vor 7.6.14 (die fehlerbehobene Version für 7.6.x)
- 7.7.x – 7.12.x
- 7.13.x – vor 7.13.5 (die fehlerbehobene Version für 7.13.x)
- 8.0.x – vor 8.0.3 (die fehlerbehobene Version für 8.0.x)
- 8.1.x – vor 8.1.2 (die fehlerbehobene Version für 8.1.x)
- 8.2.x – vor 8.2.3 (die fehlerbehobene Version für 8.2.x)
Für Kunden, die Jira Cloud benutzen, besteht kein Handlungsbedarf.
Problembeschreibung
Jira ist von einer Sicherheitslücke betroffen, welche es (anonymen) Angreifern erlaubt, über das Admin-Kontaktformular oder über folgende URL /secure/admin/SendBulkMail!default.jspa Schadcode (code injection) auf dem System auszuführen.
Das Problem betrifft die Systeme, die aus dem Internet und Intranet verfügbar sind.
Die Sicherheitshinweise
Problemlösung
- Jira 7.6.14
- Jira 7.13.5
- Jira 8.0.3
- Jira 8.1.2
- Jira 8.2.3
- Jira 8.3.0
Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen.
Als Atlassian Platinum Solution Partner unterstützen wir Sie dabei gern.
Feedback:
- Gerhard Lehmann, Das Büro am Draht GmbH