Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/8 33 82-0

Kritische Sicherheitslücke im HipChat Plugin für Bitbucket Server, Confluence and JIRA

Atlas­sian hat heute einen Hin­weis zu einer kri­ti­schen Sicher­heits­lü­cke für das Hip­Chat Plugin ver­öf­fent­licht. Fol­gende Pro­dukte, die das Hip­Chat Plugin nut­zen, sind betrof­fen: Bit­bu­cket, Con­flu­ence und die JIRA Pro­dukte.

Atlas­sian stuft die Sicher­heits­lü­cken als “Cri­ti­cal” ein, was dem höchst­mög­li­chen Schwe­re­grad in der von Atlas­sian defi­nier­ten Abstu­fung ent­spricht.

Problembeschreibung

Die Sicher­heits­lü­cke erlaubt es den Angrei­fer, unter ver­schie­de­nen Bedin­gun­gen auf den unter­schied­li­chen Pro­duk­ten, die volle Kon­trolle über die Hip­Chat Instanz zu bekom­men. Die Vor­aus­set­zun­gen dazu sind bei den Pro­duk­ten recht unter­schied­lich:

Bit­bu­cket

  • Der Angrei­fer muss Admin Zugriff zum Bit­bu­cket Ser­ver haben

Con­flu­ence

  • Der Angrei­fer benö­tigt Zugriff zu einem Con­flu­ence Account, der fol­gende Berech­ti­gun­gen besitzt: 
    • Berech­ti­gung einen Bereich zu erstel­len (Das ist die Stan­dard­be­rech­ti­gung für alle Nut­zer!)
    • Bereichs­ad­min Berech­ti­gung für einen belie­bi­gen Bereich
    • Con­flu­ence Admi­nis­tra­tor oder Sys­tem Admi­nis­tra­tor

JIRA

  • Der Angrei­fer benö­tigt Zugriff zu einem JIRA Account
  • In JIRA Ver­sio­nen vor 7.0.0, z.B. 6.4.x, reicht es aus dass der Angrei­fer auf das Web­in­ter­face von JIRA zugrei­fen kann.

Der Sicherheitshinweis von Atlassian

Eine genaue Beschrei­bung der Lücke ist unter fol­gen­den Links zu fin­den:

Problemlösung

Atlas­sian emp­fiehlt die Aktua­li­sie­rung der Soft­ware auf die nach­fol­gend genann­ten Ver­sio­nen oder neuer:

Bit­bu­cket

  • Aktua­li­sie­ren Sie den Bit­bu­cket Ser­ver auf Ver­sion 4.9.0 oder höher
  • Wenn Sie nicht auf Ver­sion 4.9.0 aktua­li­sie­ren kön­nen, dann nut­zen Sie eine der fol­gen­den Bug­fix Ver­sio­nen: 4.4.4, 4.5.3, 4.6.4, 4.7.2, 4.8.4

Con­flu­ence

  • Aktua­li­sie­ren Sie Con­flu­ence auf Ver­sion 5.10.4 oder höher
  • Wenn Sie Con­flu­ence 5.9.x instal­liert haben und nicht auf Con­flu­ence 5.10.4 aktua­li­sie­ren kön­nen, dann aktua­li­sie­ren Sie auf Ver­sion 5.9.14

JIRA

  • Aktua­li­sie­ren Sie JIRA auf Ver­sion 7.2.0 oder höher
  • Wenn Sie JIRA 7.1.x instal­liert haben und nicht auf JIRA 7.2.0 aktua­li­sie­ren kön­nen, dann aktua­li­sie­ren Sie auf Ver­sion 7.1.10
  • Wenn Sie JIRA 7.0.x instal­liert haben und nicht auf JIRA 7.2.0 oder 7.1.10 aktua­li­sie­ren kön­nen, dann aktua­li­sie­ren Sie auf 7.0.11

Sollte es Ihnen nicht mög­lich sein Bit­bu­cket, Con­flu­ence oder JIRA zu aktua­li­sie­ren, dann wird als Work­a­round emp­foh­len, das Hip­Chat Plugin zu deinstal­lie­ren oder zu deak­ti­vie­ren.

Wir sind da

Kon­tak­tie­ren Sie uns, wenn Sie Hilfe beim Update oder Ein­spie­len des Patches benö­ti­gen. Wir sind lang­jäh­ri­ger Part­ner von Atlas­sian und unter­stüt­zen Sie eben­falls gern bei der Lizen­zie­rung.

Kommentar hinterlassen