Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücken in JIRA

Atlassian hat ges­tern einen Hinweis zu meh­re­ren Sicherheitslücken für JIRAveröffentlicht. Es han­delt sich dabei um Anfälligkeiten für Cross-Site-Scripting (XSS). Es erlaubt dem poten­ti­el­len Angreifer in die Seite eige­nes JavaScript ein­zu­fü­gen. Die JIRA Versionen 4.1.x – 4.3.x sind betrof­fen. Kunden, die das Enterprise Hosting nut­zen, soll­ten eine Upgrade-Anfrage über den Atlassian Support stel­len. JIRA Studio ist für die­ses Problem nicht anfällig.

Betroffen sind

  1. das Verlinken von Vorgängen: Die Art und Weise, wie die Zusammenfassung von Vorgängen bei der Anzeige von ver­knüpf­ten Vorgängen geren­dert wird, erlaubt die Ausführung von eige­nem JavaScript.
  2. das Verschlagworten von Vorgängen: Bestimmte Stichwörter für Vorgänge kön­nen mit darin ent­hal­te­nem JavaScript erzeugt wer­den, die dann auf ande­ren Seiten geren­dert wer­den können.
  3. die Administrationsoberfläche des JIRA Bamboo Plugins: Es gibt Lücken inner­halb der Administrationsoberfläche im Bereich der JIRA Bamboo Einstellungen (betrifft nur JIRA 4.3.x).

Die Sicherheitslücken wer­den von Atlassian als “High” ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung ein mitt­le­res Risiko bedeu­tet. Konkret heisst dass, sie ist nur schwer aus­zu­nut­zen und führt dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust.

Es wird emp­foh­len, JIRA auf die Version 4.4 zu aktua­li­sie­ren. Ist dies nicht mög­lich, gibt es im Artikel von Atlassian die ent­spre­chen­den Patches sowie wei­tere Details.

Related Posts

Pin It on Pinterest