Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

Kritische Sicherheitslücke bei Atlassian Jira Service Desk

Heute hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke für das Produkt Jira Service Desk veröffentlicht.

Es wurden Sicherheitsanfälligkeiten mit kritischem Schweregrad in Jira Service Desk Server sowie Jira Service Desk Data Center für folgende Versionen aufgedeckt:

  • Alle Versionen vor 3.9.17
  • 3.10.x
  • 3.11.x
  • 3.12.x
  • 3.13.x
  • 3.14.x
  • 3.15.x
  • 3.16.x vor 3.16.10 (fehlerbehobene Version für 3.16.x)
  • 4.0.x
  • 4.1.x
  • 4.2.x vor 4.2.6 (fehlerbehobene Version für 4.2.x)
  • 4.3.x vor 4.3.5 (fehlerbehobene Version für 4.3.x)
  • 4.4.x vor 4.4.3 (fehlerbehobene Version für 4.4.x)
  • 4.5.x vor 4.5.1 (fehlerbehobene Version für 4.5.x)

Für Kunden, die Jira Cloud benutzen, besteht kein Handlungsbedarf.

Problembeschreibung

Ein Feature von Jira Service Desk ist es, Kundenportal-Nutzern das Erstellen und Einsehen von Anfragen und Problemen zu ermöglichen, ohne ihnen direkten Zugriff auf das Jira-System zu geben. Diese Einschränkungen können jedoch von einem Angreifer mit Portalzugriff umgangen werden, indem dieser eine Schwachstelle bei der Pfaderstellung ausnutzt.

Bitte beachten Sie, dass Angreifer sich selbst Zugang zu Jira Service Desk Projekten gewähren könn(t)en, bei denen die Einstellung „Jeder kann dem Servicedesk eine E-Mail schicken oder im Portal eine Anfrage stellen“ aktiv ist.

Die erfolgreiche Ausnutzung der o.g. Schwachstelle ermöglicht es einem Angreifer, alle Vorgänge aller Jira-Projekte, die in der gefährdeten Instanz existieren, anzuzeigen. Dies beinhaltet Projekte vom Typ Service Desk, Business und Software.

Das Problem betrifft sowohl Systeme, die aus dem Internet erreichbar sind, als auch nur im Intranet verfügbare.

Die Sicherheitshinweise

Eine genaue Beschreibung der Lücken und eines Workarounds für Jira Service Desk ist unter folgendem Link zu finden:

Problemlösung

Atlassian empfiehlt die Aktualisierung der Software auf folgende Versionen, bei denen die Sicherheitslücke gefixt ist:
  • 3.9.17
  • 3.16.10
  • 4.2.6
  • 4.3.5
  • 4.4.3
  • 4.5.1

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen. 

Als Atlassian Platinum Solution Partner unterstützen wir Sie dabei gern!

Kommentar hinterlassen


Pin It on Pinterest