Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

Kritische Sicherheitslücke bei Atlassian Jira Service Desk

In diesem Blogbeitrag finden Sie alle wichtigen Informationen zur Sicherheitslücke bei Atlassian Jira Service Desk und welche Maßnahmen Sie ergreifen sollten.

< < zurück zur Blogübersicht

Heute hat Atlassian einen Hinweis zu einer kritischen Sicherheitslücke für das Produkt Jira Service Desk veröffentlicht.

Es wurden Sicherheitsanfälligkeiten mit kritischem Schweregrad in Jira Service Desk Server sowie Jira Service Desk Data Center für folgende Versionen aufgedeckt:

    • Alle Versionen vor 3.9.16
    • 3.10.x
    • 3.11.x
    • 3.12.x
    • 3.13.x
    • 3.14.x
    • 3.15.x
    • 3.16.x vor 3.16.8 (fehlerbehobene Version für 3.16.x)
    • 4.0.x
    • 4.1.x vor 4.1.3 (fehlerbehobene Version für 4.1.x)
    • 4.2.x vor 4.2.5 (fehlerbehobene Version für 4.2.x)
    • 4.3.x vor 4.3.4 (fehlerbehobene Version für 4.3.x)
    • 4.4.x vor 4.4.1 (fehlerbehobene Version für 4.4.x)

Für Kunden, die Jira Cloud benutzen, besteht kein Handlungsbedarf.

Problembeschreibung

Per Design festgelegt, wird im Jira Service Desk Nutzern des Kundenportals die Berechtigung erteilt Anfragen zu erstellen und Probleme anzuzeigen. Auf diese Weise können die Nutzer mit dem Kundenportal interagieren, ohne direkten Zugriff auf das Jira System zu haben. Diese Einschränkungen können jedoch von einem Angreifer mit Portalzugriff umgangen werden, da er eine Schwachstelle bei der Pfaderstellung ausnutzt.

Bitte beachten Sie, dass Angreifer sich selbst Zugang zu Jira Service Desk-Projekten gewähren könn(t)en, bei denen die Einstellung aktiv ist, wo jeder eine E-Mail an den Service Desk senden oder eine Anfrage stellen kann.

Die erfolgreiche Ausnutzung der o.g. Schwachstelle ermöglicht es einem Angreifer, alle Issues innerhalb aller Jira-Projekte, die in der gefährdeten Instanz enthalten sind, anzuzeigen. Dies kann Jira Service Desk-Projekte, Jira Core Projekte und Jira Software Projekte beinhalten.

Das Problem betrifft die Systeme, die aus dem Internet und Intranet verfügbar sind.

Die Sicherheitshinweise

Eine genaue Beschreibung der Lücken und eines Workarounds für Jira Service Desk ist unter folgendem Link zu finden:

Problemlösung

Atlassian empfiehlt die Aktualisierung der Software auf folgende (fixed) Versionen:
  • 3.9.16  (Empfehlung geht jedoch zu 3.16.8)
  • 3.16.8
  • 4.1.3
  • 4.2.5
  • 4.3.4
  • 4.4.1

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen. 

Als Atlassian Platinum Solution Partner unterstützen wir Sie dabei gern.

 

Kommentar hinterlassen


Pin It on Pinterest