Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

Kritische Sicherheitslücke im HipChat Plugin für Bitbucket Server, Confluence and JIRA

Atlassian hat heute einen Hinweis zu einer kritischen Sicherheitslücke für das HipChat Plugin veröffentlicht. Folgende Produkte, die das HipChat Plugin nutzen, sind betroffen: Bitbucket, Confluence und die JIRA Produkte.

Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht.

Problembeschreibung

Die Sicherheitslücke erlaubt es den Angreifer, unter verschiedenen Bedingungen auf den unterschiedlichen Produkten, die volle Kontrolle über die HipChat Instanz zu bekommen. Die Voraussetzungen dazu sind bei den Produkten recht unterschiedlich:

Bitbucket

  • Der Angreifer muss Admin Zugriff zum Bitbucket Server haben

Confluence

  • Der Angreifer benötigt Zugriff zu einem Confluence Account, der folgende Berechtigungen besitzt:
    • Berechtigung einen Bereich zu erstellen (Das ist die Standardberechtigung für alle Nutzer!)
    • Bereichsadmin Berechtigung für einen beliebigen Bereich
    • Confluence Administrator oder System Administrator

JIRA

  • Der Angreifer benötigt Zugriff zu einem JIRA Account
  • In JIRA Versionen vor 7.0.0, z.B. 6.4.x, reicht es aus dass der Angreifer auf das Webinterface von JIRA zugreifen kann.

Der Sicherheitshinweis von Atlassian

Eine genaue Beschreibung der Lücke ist unter folgenden Links zu finden:

Problemlösung

Atlassian empfiehlt die Aktualisierung der Software auf die nachfolgend genannten Versionen oder neuer:

Bitbucket

  • Aktualisieren Sie den Bitbucket Server auf Version 4.9.0 oder höher
  • Wenn Sie nicht auf Version 4.9.0 aktualisieren können, dann nutzen Sie eine der folgenden Bugfix Versionen: 4.4.4, 4.5.3, 4.6.4, 4.7.2, 4.8.4

Confluence

  • Aktualisieren Sie Confluence auf Version 5.10.4 oder höher
  • Wenn Sie Confluence 5.9.x installiert haben und nicht auf Confluence 5.10.4 aktualisieren können, dann aktualisieren Sie auf Version 5.9.14

JIRA

  • Aktualisieren Sie JIRA auf Version 7.2.0 oder höher
  • Wenn Sie JIRA 7.1.x installiert haben und nicht auf JIRA 7.2.0 aktualisieren können, dann aktualisieren Sie auf Version 7.1.10
  • Wenn Sie JIRA 7.0.x installiert haben und nicht auf JIRA 7.2.0 oder 7.1.10 aktualisieren können, dann aktualisieren Sie auf 7.0.11

Sollte es Ihnen nicht möglich sein Bitbucket, Confluence oder JIRA zu aktualisieren, dann wird als Workaround empfohlen, das HipChat Plugin zu deinstallieren oder zu deaktivieren.

Wir sind da

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen. Wir sind langjähriger Partner von Atlassian und unterstützen Sie ebenfalls gern bei der Lizenzierung.

Kommentar hinterlassen


Pin It on Pinterest