Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücke beim Produkt ScriptRunner vom Atlassian Partner Adaptavist

Erfahren Sie, welche Maßnahmen Sie hinsichtlich der Sicherheitslücke für das Produkt ScriptRunner von Adaptavist ergreifen müssen.

Der App Hersteller "Adaptavist" hat einen Hinweis zu einer kri­ti­schen Sicherheitslücke für das Produkt ScriptRunner ver­öf­fent­licht.

Es wur­den Sicherheitsanfälligkeiten mit kri­ti­schem Schweregrad in Confluence, Jira, Bitbucket und Bamboo Server/Data Center Produkte für fol­gende Versionen auf­ge­deckt:

  • Alle Versionen vor 5.6.12 (Confluence, Jira und Bitbucket)
  • Alle Versionen vor 5.4.19.1 (Bamboo)

Für Kunden, die die Atlassian Cloud benut­zen, besteht kein Handlungsbedarf.

 

Problembeschreibung

Ein HTTP-POST, der an /rest/scriptrunner/latest/remote-events mit einer spe­zi­ell gestal­te­ten JSON-Nutzlast durch­ge­führt wird, könnte zu einer unein­ge­schränk­ten Groovy-Code-Ausführung für jeden ange­mel­de­ten Benutzer füh­ren, unab­hän­gig von den Berechtigungen.

Diese Sicherheitslücke wurde in ScriptRunner 5.6.12 / 5.6.12.1‑p5 beho­ben. Es wird allen Kunden emp­foh­len, nach Möglichkeit auf 5.6.12+ (oder 5.4.19.1+ für ScriptRunner for Bamboo) zu aktua­li­sie­ren.
Wenn keine Firewall akti­viert ist, müs­sen die Benutzer ScriptRunner aktua­li­sie­ren, um die­sen Sicherheitspatch ein­zu­bin­den.

Sollten Sie nicht in der Lage sein, auf ScriptRunner für Jira Version 5.6.12 oder höher zu aktua­li­sie­ren, dann kön­nen Sie als vor­über­ge­hende Abhilfe die Anfrage an den fol­gen­den Endpunkt blo­ckie­ren:

<base_url>rest/scriptrunner/*/remote-events/

Prüfen Sie, ob Anfragen an: <baseurl>rest/scriptrunner/latest/remote-events/ und <baseurl>rest/scriptrunner/1.0/remote-events/ abge­lehnt wer­den.

 

Weitere Informationen und Beispiele für die Anwendung der Umgehungslösung in Apache oder Tomcat durch das Blockieren von Anfragen an den ScriptRunner Remote Events-Endpunkt auf der Ebene des Reverse-Proxys oder Load-Balancers fin­den Sie unter http://hub.adaptavist.com/workaround-for-scriptrunner-code-execution-vulnerability.

 

WICHTIG: Bitte beach­ten Sie, dass der Adaptavist-Support hier keine Hilfe bei der Konfiguration von Reverse-Proxies bie­tet. Daher kön­nen wir Ihnen die Beispiele nur so zur Verfügung stel­len, wie sie sind: ohne Unterstützung und ohne schrift­li­che oder impli­zite Garantien.

 

Eine genaue Beschreibung der Lücken und eines Workarounds für Jira Service Desk ist unter folgendem Link zu finden:

 

Problemlösung

Adaptavist emp­fiehlt die Aktualisierung der Software auf fol­gende (fixed) Versionen:

  • 5.6.12
  • 5.6.14.1‑p5
  • 5.4.19.1 (Bamboo)

 

 

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benö­ti­gen.

Als Atlassian Platinum Solution Partner unter­stüt­zen wir Sie dabei gern.

 

 

Related Posts

Pin It on Pinterest