Communardo Software GmbH, Kleiststraße 10 a, D-01129 Dresden
+49 (0) 351/850 33-0

Sicherheitslücke in JIRA

Am Donnerstag hat Atlassian einen Hinweis auf eine Sicherheitslücke in JIRA veröffentlicht, von der alle JIRA Versionen bis einschließlich JIRA 5.0 betroffen sind.

Die Sicherheitslücke wurde mit dem zweithöchsten Schweregrad „High“ eingestuft, gemäß der Kategorisierung von Atlassian bedeutet das, dass:

  • Die Lücke schwierig auszunutzen ist
  • Beim Ausnutzen der Lücke dem Angreifer keine erweiterten Rechten zur Verfügung stehen
  • Beim Ausnutzen der Lücke Daten nicht in signifikantem Umfang verloren gehen.

Wird die Sicherheitslücke ausgenutzt, so ist es unter bestimmten Bedingungen möglich, Denail of Service (DOS) Attacken gegen den JIRA Server auszuführen.

Um die Ursache für dieses Problem zu beseitigen empfiehlt Atlassian allen betroffenen Nutzern, JIRA auf eine aktuellere Version (mindestens 5.0.1) zu aktualisieren. Ggf. sind auch die Plugins Tempo und Gliffy zu aktualisieren, weitere Details dazu sind im Security Advisory von Atlassian zu finden. Sollte ein Update von JIRA kurzfristig nicht möglich sein, so bietet Atlassian einen Patch für verschiedene JIRA Versionen an, diese sind ebenfalls im Security Advisory aufgeführt, ebenso wie das Vorgehen zum Einspielen des Fixes.

So lange weder ein Update durchgeführt, noch der Fix eingespielt wurde sollte auf jeden Fall der anonyme Zugriff auf JIRA und die öffentliche Anmeldung an JIRA abgeschaltet werden.

Kommentar hinterlassen


Pin It on Pinterest