In diesem Halbjahr geht es munter zur Sache, was die IT-Sicherheitsthematik bei Atlassian betrifft. Nach den Mitteilungen im Juli und August hat der Hersteller nun eine neue Sicherheitswarnung herausgegeben - oder besser gesagt: gleich drei. Die Meldung betrifft unterschiedliche Bugs in den Produkten Bitbucket (Server und Data Center), Jira (Server und Data Center) sowie Jira Service Desk (Server und Data Center).
Die aufgedeckten Sicherheitslücken werden als kritisch eingestuft, was bedeutet, dass Kunden, die aktuell gefährdete Produktversionen betreiben, ihre Systeme schnellstmöglich auf sichere Versionen aktualisieren sollten. Hier sind die Details.
Bitbucket Server und Data Center
In Bitbucket Server und Data Center wurde eine Verwundbarkeit aufgedeckt, die Angreifer ausnutzen können, um durch eine sogenannte Argument Injection schädlichen Code ins System zu schleusen. Böswillige Akteure können in Git-Kommandos zusätzliche Argumente injizieren und dadurch im Endeffekt Schadcode ausführen.
Betroffene und sichere Versionen
Die folgenden Versionen von Bitbucket Server und Data Center sind von der Sicherheitslücke betroffen:
- Alle Versionen bis inklusive 5.16.9
- 6.0.0 bis 6.0.9
- 6.1.0 bis 6.1.7
- 6.2.0 bis 6.2.5
- 6.3.0 bis 6.3.4
- 6.4.0 bis 6.4.2
- 6.5.0 bis 6.5.1
In den folgenden Versionen ist die Lücke geschlossen, sie bieten dementsprechend wieder Systemsicherheit: 5.16.10, 6.0.10, 6.1.8, 6.2.6, 6.3.5, 6.4.3, 6.5.2, 6.6.0, 6.6.1 und höher.
Kunden von Bitbucket Server und Data Center wird dringend geraten, ihre Systeme möglichst kurzfristig auf eine der genannten sicheren Versionen zu aktualisieren, um sie keinen weiteren Risiken auszusetzen.
Risikobegrenzung per Hotfix
Für Unternehmen, die dazu kurzfristig nicht in der Lage sind, hat Atlassian alternativ einen Hotfix für Bitbucket ab Version 4.0.0 und höher bereitgestellt. Dieser lässt sich ohne Ausfallzeit des Instanz installieren und schützt die Standardfunktionalitäten des Systems. Der Hotfix steht auf der Seite mit der offiziellen Sicherheitsmeldung von Atlassian zum Download bereit. Der Fix bietet jedoch keinen so umfassenden Schutz wie ein Update, weshalb Kunden auch nach dessen Installation so bald wie möglich eine Software-Aktualisierung vornehmen sollten.
Jira Server und Data Center
Bei der Sicherheitslücke in Jira Server und Data Center handelt es sich um die Gefahr einer Server-seitigen Template Injection im Jira Importers Plugin (JIM), die es einem Angreifer ermöglicht, Schadcode einzuführen.
Betroffene und sichere Versionen
Die folgenden Produktversionen sind verwundbar und potenziell gefährdet:
- 7.0.10 bis 7.6.15
- 7.7.0 bis 7.13.7
- 8.0.0 bis 8.1.2
- 8.2.0 bis 8.2.4
- 8.3.0 bis 8.3.3
- 8.4.0
In den folgenden Versionen ist das Problem behoben: 7.6.16, 7.13.8, 8.1.3, 8.2.5, 8.3.4, 8.4.1. (v7.13.8 ist gleichzeitig die aktuelle, sichere Enterprise-Release-Version.)
Betroffene Kunden von Jira Server und Jira Service Desk sollten ihre Instanzen möglichst zügig auf eine der genannten Versionen updaten und wieder sicher machen.
Risikobegrenzung via Workaround
Kunden, die das kurzfristig nicht tun können, empfiehlt Atlassian als schnelle Notlösung einen temporären Workaround: Durch das vorübergehende Blockieren von PUT-Requests für den Endpunkt /rest/jira-importers-plugin/1.0/demo/create wird die unmittelbare Ausnutzung der Lücke erst einmal unterbunden. Vollständigen Schutz bietet jedoch nur eine Systemaktualisierung, weshalb der Workaround wirklich nur als Übergangslösung bis zum Update ratsam ist.
Jira Service Desk (Server und Data Center)
Der Bug in Jira Service Desk Server und Data Center versetzt böswillige Akteure in die Lage, über das Kundenportal per URL Path Traversal unberechtigt auf sensible Informationen im System (Projekte, Vorgänge) zuzugreifen.
Betroffene und sichere Versionen
Dies sind die Produktversionen, die gefährdet sind:
- Alle Versionen bis inklusive 3.9.15
- 3.10.x
- 3.11.x
- 3.12.x
- 3.13.x
- 3.14.x
- 3.15.x
- 3.16.x bis 3.16.7
- 4.0.x
- 4.1.x bis 4.1.2
- 4.2.x bis 4.2.4
- 4.3.x bis 4.3.3
- 4.4.0
In den folgenden Versionen tritt die Sicherheitslücke nicht mehr auf: 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4, 4.4.1.
Auch hier sind Kunden, deren Systeme mit einer verwundbaren Version laufen, angehalten, zum frühestmöglichen Zeitpunkt ein Update auf eine dieser sicheren Produktversionen durchzuführen.
Risikobegrenzung durch Workarounds
Organisationen, die dem nicht kurzfristig nachkommen können, sollten auf jeden Fall zumindest einen dieser beiden temporären Workarounds implementieren:
- Kunden können Requests an Jira mit
..auf Reverse-Proxy- oder Load-Balancer-Ebene blockieren. - Alternativ kann Jira so konfiguriert werden, dass Requests mit
..auf eine sichere URL leiten. (Eine Anleitung zu dieser Konfigurationsanpassung hat Atlassian zusammen mit der Sicherheitsmeldung veröffentlicht.)
Wieder ist anzumerken: Die Workarounds sind nur als unmittelbare und vorübergehende Schutzmaßnahmen geeignet und bieten keine umfassende Systemsicherheit. Diese kann nur ein Software-Update gewährleisten.
Fragen? Unterstützung? Unser Betriebsteam hilft!
Mit Kunden, die bei //SEIBERT/MEDIA Betriebspakete besitzen, ist unser Betriebsteam schon proaktiv in Kontakt getreten, um baldige Update-Termine mit ihnen zu koordinieren. In den Systemen unserer Kunden sind die genannten Workarounds bzw. der Bitbucket-Hotfix auch bereits wirksam.
Haben Sie Fragen oder brauchen Sie Unterstützung bei der Aktualisierung durch unsere Experten für den Betrieb von Atlassian-Software? Dann melden Sie sich per E-Mail an vertrieb@seibert-media.net oder telefonisch unter 0611-20570-42 bei uns! Unser Team ist gerade stark eingespannt, aber wir helfen Ihnen gerne, so bald es die Kapazitäten zulassen!
Weiterführende Infos
Informationen zum Security Advisory bei Atlassian: Bitbucket, Jira, Jira Service Desk
Betriebspakete zu Ihren Atlassian-Anwendungen
Software-Updates: Wann sind sie sinnvoll?
Unsere Artikelreihe über IT-Sicherheit und Penetrationstests
IT-Sicherheit als kontinuierlichen Prozess verstehen
Artikelbild auf der Startseite von Soumil Kumar unter Pexels Lizenz
