Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücke in Jira

Logo Atlassian JIRAAm 21. Februar 2011 hat Atlassian einen Hinweis zu einer Sicherheitslücke für JIRA ver­öf­fent­licht. Die Schwachstelle liegt in der para­me­ter­ba­sier­ten Weiterleitung. Diese wird bei eini­gen Aktionen in JIRA benutzt, wenn z.B. der Nutzer nach dem Ausführen einer Aktion auf eine andere Seite gelei­tet wird. Die Sicherheitslücke erlaubt es Angreifern eine JIRA-URL so zu ver­än­dern, dass der Nutzer beim Klick dar­auf auf eine andere Seite außer­halb der JIRA-Instanz wei­ter­ge­lei­tet wird. Dies kann für Phishing aus­ge­nutzt wer­den. Alle Versionen vor JIRA 4.2.2. sind betrof­fen.

Die Sicherheitslücke wird von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret heisst dass, sie ist nur schwer aus­zu­nut­zen und führt dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust.

Es wird emp­foh­len, JIRA min­des­tens auf die Version 4.2.2 zu aktua­li­sie­ren. Ab die­ser Version wer­den para­me­ter­ba­sierte Weiterleitungen nur inner­halb der JIRA-Instanz unter­stützt.

Weitere Details zur Sicherheitslücke kön­nen im Artikel von Atlassian gefun­den wer­den.

Related Posts

Pin It on Pinterest