Kritisches Sicherheitsproblem in Jira Server und Jira Data Center behoben: Jetzt Updates installieren!

Atlassian entwickelt seine Produkte intensiv weiter. Das gilt nicht nur für funktionelle Aspekte, sondern auch für die Sicherheitsthematik, die Atlassian als kontinuierlichen Prozess versteht und deshalb regelmäßig umfangreiche Sicherheitstests durchführt. Dabei kommt es vor, dass potenzielle, manchmal aber auch schwerwiegende Problemquellen identifiziert werden, für die der Hersteller dann kurzfristig Bugfix- und Sicherheits-Releases nachschiebt.

Für die meisten Kunden ist so etwas Regel keine besonders erfreuliche Nachricht: Sie sehen sich unter Handlungszwang gesetzt; Produktaktualisierungen bedeuten zudem immer auch einen gewissen Aufwand und binden Ressourcen. Aber keine Software ist ohne Fehler. Letztlich ist es immer besser, dass ein Bug gefunden und behoben wird, als wenn er weiterhin mit all seinem Gefahrenpotenzial unerkannt unter dem Radar schwebt.

Eine solche Sicherheitslücke hat Atlassian nun in Jira Server und Jira Data Center aufgedeckt und aktualisierte Produktversionen zur Verfügung gestellt, in denen das Problem behoben ist. Atlassian stuft die Lücke als kritisch ein. Kunden sind daher angehalten, zeitnah Aktualisierungen auf eine sichere Version vorzunehmen.

Gefahr einer Server-seitigen Template Injection

Der erkannte Bug birgt die Gefahr einer sogenannten Server-seitigen Template Injection. Angreifer können die Lücke nutzen, um über die Ressourcen ContactAdministrators und SendBulkMail schadhaften Code in eine verwundbare Version von Jira einzuschleusen und auszuführen.

Betroffen sind die folgenden Produktversionen von Jira Server und Jira Data Center:

  • 4.4.0 und aufwärts bis inklusive 7.6.13
  • 7.7.0 und aufwärts bis inklusive 7.13.4
  • 8.0.0 und aufwärts bis inklusive 8.0.2
  • 8.1.0 und aufwärts bis inklusive 8.1.1
  • 8.2.0 und aufwärts bis inklusive 8.2.2

In den Versionen Enterprise-Release-Versionen 7.6.14 und 7.13.5 sowie den Feature-Releases 8.0.3, 8.1.2 und 8.2.3 ist der Bug behoben worden.

Im öffentlichen Wiki von Atlassian können Sie die Sicherheitsmeldung in allen Details nachlesen.

Jetzt handeln und Ihr System wieder sicher machen

Wie erwähnt, betrifft das Problem betrifft sowohl Server- als auch Data-Center-Instanzen von Jira. In Anbetracht der Schwere der Sicherheitslücke und der möglicherweise gravierenden Folgen ist es für betroffene Kunden ratsam, möglichst kurzfristig zu handeln.

Eine Aktualisierung Ihres Systems auf eine sichere Version ist die effektivste Option. Empfohlen wird ein Update auf das aktuelle Enterprise-Release wie 7.13.5 bzw. ein aktuelles Feature-Release wie Version 8.2.3.

Gleichwohl sind Update-Prozesse vor allem in großen Organisationen häufig nicht so zügig machbar. Für Unternehmen, die nicht in der Lage sind, kurzfristig Updates einzuspielen, gibt es einen Workaround, der das Problem zunächst entschärft. Diese Kunden sollten auf jeden Fall das Administratoren-Kontaktformular (ContactAdministrators) deaktivieren und den Zugriff auf die Ressource /secure/admin/SendBulkMail!default.jspa blockieren.

Diese Workarounds sind allerdings eine provisorische Lösung, die eine Software-Aktualisierung nicht ersetzen kann. Nach einem Update können Sie die genannten Aktionen wieder gefahrlos verfügbar machen. Falls Sie einen Webserver vor Jira geschaltet haben, besteht auch ohne Downtime der Applikation die Möglichkeit, den Zugriff auf die zuvor genannten Ressourcen zu blockieren. Hierzu ist dann keine Anpassung am Tomcat-Applikationsserver notwendig.

Mit Kunden, die bei //SEIBERT/MEDIA Atlassian-Betriebspakete besitzen, sind wir bereits initiativ in Kontakt getreten, um so bald wie möglich Updates vorzunehmen. In den Instanzen dieser Kunden haben wir eine Sperrung und damit Zugriff auf die problematischen Funktionen bereits durchgeführt, sodass die Sicherheitslücke nicht mehr ausgenutzt werden kann.

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Aktualisierung durch unsere Atlassian-Fachleute? Dann melden Sie sich per E-Mail an vertrieb@seibert-media.net oder telefonisch unter 0611-20570-42 bei uns! Wir helfen Ihnen gerne, sobald es unsere Kapazitäten zulassen.

Weiterführende Infos

Betriebspakete zu Ihren Atlassian-Anwendungen
Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen

Artikelbild auf der Übersichtsseite von Soumil Kumar unter Pexels Lizenz