Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
0800 1 255 255

Sicherheitslücke beim Produkt ScriptRunner vom Atlassian Partner Adaptavist

Erfahren Sie, welche Maßnahmen Sie hinsichtlich der Sicherheitslücke für das Produkt ScriptRunner von Adaptavist ergreifen müssen.

Der App Hersteller „Adaptavist“ hat einen Hinweis zu einer kritischen Sicherheitslücke für das Produkt ScriptRunner veröffentlicht.

Es wurden Sicherheitsanfälligkeiten mit kritischem Schweregrad in Confluence, Jira, Bitbucket und Bamboo Server/Data Center Produkte für folgende Versionen aufgedeckt:

  • Alle Versionen vor 5.6.12 (Confluence, Jira und Bitbucket)
  • Alle Versionen vor 5.4.19.1 (Bamboo)

Für Kunden, die die Atlassian Cloud benutzen, besteht kein Handlungsbedarf.

 

Problembeschreibung

Ein HTTP-POST, der an /rest/scriptrunner/latest/remote-events mit einer speziell gestalteten JSON-Nutzlast durchgeführt wird, könnte zu einer uneingeschränkten Groovy-Code-Ausführung für jeden angemeldeten Benutzer führen, unabhängig von den Berechtigungen.

Diese Sicherheitslücke wurde in ScriptRunner 5.6.12 / 5.6.12.1-p5 behoben. Es wird allen Kunden empfohlen, nach Möglichkeit auf 5.6.12+ (oder 5.4.19.1+ für ScriptRunner for Bamboo) zu aktualisieren.
Wenn keine Firewall aktiviert ist, müssen die Benutzer ScriptRunner aktualisieren, um diesen Sicherheitspatch einzubinden.

Sollten Sie nicht in der Lage sein, auf ScriptRunner für Jira Version 5.6.12 oder höher zu aktualisieren, dann können Sie als vorübergehende Abhilfe die Anfrage an den folgenden Endpunkt blockieren:

<base_url>rest/scriptrunner/*/remote-events/

Prüfen Sie, ob Anfragen an: <baseurl>rest/scriptrunner/latest/remote-events/ und <baseurl>rest/scriptrunner/1.0/remote-events/ abgelehnt werden.

 

Weitere Informationen und Beispiele für die Anwendung der Umgehungslösung in Apache oder Tomcat durch das Blockieren von Anfragen an den ScriptRunner Remote Events-Endpunkt auf der Ebene des Reverse-Proxys oder Load-Balancers finden Sie unter http://hub.adaptavist.com/workaround-for-scriptrunner-code-execution-vulnerability.

 

WICHTIG: Bitte beachten Sie, dass der Adaptavist-Support hier keine Hilfe bei der Konfiguration von Reverse-Proxies bietet. Daher können wir Ihnen die Beispiele nur so zur Verfügung stellen, wie sie sind: ohne Unterstützung und ohne schriftliche oder implizite Garantien.

 

Eine genaue Beschreibung der Lücken und eines Workarounds für Jira Service Desk ist unter folgendem Link zu finden:

 

Problemlösung

Adaptavist empfiehlt die Aktualisierung der Software auf folgende (fixed) Versionen:

  • 5.6.12
  • 5.6.14.1-p5
  • 5.4.19.1 (Bamboo)

 

 

Kontaktieren Sie uns, wenn Sie Hilfe beim Update oder Einspielen des Patches benötigen.

Als Atlassian Platinum Solution Partner unterstützen wir Sie dabei gern.

 

 

Kommentar hinterlassen


Pin It on Pinterest