Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücke in JIRA

Am Donnerstag hat Atlassian einen Hinweis auf eine Sicherheitslücke in JIRA ver­öf­fent­licht, von der alle JIRA Versionen bis ein­schließ­lich JIRA 5.0 betrof­fen sind.

Die Sicherheitslücke wurde mit dem zweit­höchs­ten Schweregrad "High" ein­ge­stuft, gemäß der Kategorisierung von Atlassian bedeu­tet das, dass:

  • Die Lücke schwie­rig aus­zu­nut­zen ist
  • Beim Ausnutzen der Lücke dem Angreifer keine erwei­ter­ten Rechten zur Verfügung stehen
  • Beim Ausnutzen der Lücke Daten nicht in signi­fi­kan­tem Umfang ver­lo­ren gehen.

Wird die Sicherheitslücke aus­ge­nutzt, so ist es unter bestimm­ten Bedingungen mög­lich, Denail of Service (DOS) Attacken gegen den JIRA Server auszuführen.

Um die Ursache für die­ses Problem zu besei­ti­gen emp­fiehlt Atlassian allen betrof­fe­nen Nutzern, JIRA auf eine aktu­el­lere Version (min­des­tens 5.0.1) zu aktua­li­sie­ren. Ggf. sind auch die Plugins Tempo und Gliffy zu aktua­li­sie­ren, wei­tere Details dazu sind im Security Advisory von Atlassian zu fin­den. Sollte ein Update von JIRA kurz­fris­tig nicht mög­lich sein, so bie­tet Atlassian einen Patch für ver­schie­dene JIRA Versionen an, diese sind eben­falls im Security Advisory auf­ge­führt, ebenso wie das Vorgehen zum Einspielen des Fixes.

So lange weder ein Update durch­ge­führt, noch der Fix ein­ge­spielt wurde sollte auf jeden Fall der anonyme Zugriff auf JIRA und die öffent­li­che Anmeldung an JIRA abge­schal­tet werden.

Related Posts

Pin It on Pinterest