Atlassian hat kritische Sicherheitswarnungen für mehrere Produkte herausgegeben. Sie betreffen JIRA, Confluence, Bamboo, FishEye & Crucible sowie Stash. Um die Sicherheitslücken zu schließen, stehen Updates (und alternativ Patches) zur Verfügung.
JIRA bis zu und inklusive Version 6.1.3
Path Traversal im JIRA Issue Collector Plugin und im JIRA Importers Plugin: Die Lücke erlaubt es nicht autorisierten Nutzern, Dateien in allen validen Verzeichnissen in einer JIRA-Installation zu erstellen (mehr Infos zu Path Traversal). Dazu muss der Angreifer auf die Web-Oberfläche von JIRA zugreifen können. Diese Sicherheitslücken betreffen nur Windows-Server.
Rechteausweitung: Die Lücke erlaubt es nicht autorisierten Nutzern, Aktionen im Namen anderer autorisierter Nutzer durchzuführen (mehr Infos zu Rechteausweitung). Dazu muss der Angreifer auf die Web-Oberfläche von JIRA zugreifen können.
Weitere Informationen zu Sicherheits-Updates und -Patches für JIRA
Confluence bis zu und inklusive Version 5.4.1
Rechteausweitung: Die Lücke erlaubt es nicht autorisierten Usern, Aktionen im Namen anderer autorisierter Nutzer durchzuführen (mehr Infos zu Rechteausweitung). Dazu muss der Angreifer auf die Web-Oberfläche von Confluence zugreifen können.
Weitere Informationen zu Sicherheits-Updates und -Patches für Confluence
Bamboo bis zu und inklusive Version 5.2.1
Rechteausweitung: Die Lücke erlaubt es nicht autorisierten Nutzern, Aktionen im Namen anderer autorisierter Nutzer durchzuführen (mehr Infos zu Rechteausweitung). Dazu muss der Angreifer auf die Web-Oberfläche von Bamboo zugreifen können.
Ein Bamboo-Server ist verwundbar, wenn er als Teil es eines Application Links mit Authentifizierung über Trusted Applications konfiguriert ist.
Weitere Informationen zu Sicherheits-Updates und -Patches für Bamboo
FishEye & Crucible bis zu und inklusive Version 3.1.5
Rechteausweitung: Die Lücke erlaubt es nicht autorisierten Nutzern, Aktionen im Namen anderer autorisierter Nutzer durchzuführen (mehr Infos zu Rechteausweitung). Dazu muss der Angreifer auf die Web-Oberfläche von FishEye zugreifen können.
Ein FishEye-Server ist verwundbar, wenn er als Teil es eines Application Links mit Authentifizierung über Trusted Applications konfiguriert ist.
Dieses Szenario entspricht der Sicherheitslücke von Crucible.
Weitere Informationen zu Sicherheits-Updates und -Patches für FishEye & Crucible
Stash bis zu und inklusive Versionen 2.5.3, 2.6.4, 2.7.5 und 2.8.3.
Rechteausweitung: Die Lücke erlaubt es nicht autorisierten Nutzern, Aktionen im Namen anderer autorisierter Nutzer durchzuführen (mehr Infos zu Rechteausweitung). Dazu muss der Angreifer auf die Web-Oberfläche von Stash zugreifen können.
Ein Stash-Server ist verwundbar, wenn er als Teil es eines Application Links mit Authentifizierung über Trusted Applications konfiguriert ist.
Weitere Informationen zu Sicherheits-Updates und -Patches für FishEye & Crucible
Weiterführende Informationen
Haben sie Fragen zu diesen Sicherheitsaspekten und/oder benötigen Sie Unterstützung beim Update? Bitte sprechen Sie uns an – wir beraten Sie gerne unverbindlich zum Thema Lizenzierung und Updates. Sie erreichen unsere Experten für Atlassian-Lizenzen zu den üblichen Geschäftszeiten unter der Telefonnummer 0611 205 70 42.
//SEIBERT/MEDIA ist offizieller Vertriebspartner von Atlassian und einer der größten Atlassian Experts Partner weltweit. Wir helfen Ihnen bei allen Aspekten rund um die Einführung und den Betrieb Ihrer Atlassian-Produkte – von der Lizenzierung bis hin zur Sicherheitsoptimierung.
Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen
