Dass Atlassian mit seinen Produkten erfolgreich ist und immer mehr große Unternehmen auf die Lösungen setzen, hat durchaus seine Vorteile. Dies führt nämlich dazu, dass der Fokus verstärkt auf die Sicherheit der Lösungen gelegt wird. So verwundert es kaum, dass nach dem halben Dutzend geschlossener Sicherheitslücken in diesem Jahr erneut die Absicherung eines Atlassian-Produkts notwendig wird.
Diesmal betroffen ist das Jira Service Desk in der Server- als auch der Data Center-Variante. Es handelt sich um gleich zwei kritischen Sicherheitslücken, wie Atlassian heute Abend bekanntgegeben hat.
Bei der mit der Kennung CVE-2019-15003 versehenen Sicherheitslücke handelt es sich um eine Möglichkeit auf Tickets anderer Service Desk-Nutzer:innen zuzugreifen.Die zweite Sicherheitslücke, eine "Path Traversal"-Attacke (CVE-2019-15004), kann ebenfalls dazu führen, dass unberechtigt Zugriff auf Informationen im System genommen werden kann. Als Voraussetzung wird lediglich ein aktiver Zugang zum Jira Service Desk benötigt. Diesen kann man sich in den meisten Fällen ohne das Zutun der Administrator:innen verschaffen.
Betroffene Versionen
Atlassian hat für die aktuell gepflegten Versionszweige Aktualisierungen bereitgestellt.
Behoben wurde der Fehler bereits in folgenden Versionen:
- 3.9.17
- 3.16.10
- 4.2.6
- 4.3.5
- 4.4.3
- 4.5.1
Alle Versionen vor der 3.9.17 sind von der Sicherheitslücke betroffen.
Ebenso aktualisiert werden müssen die Versionen 3.10.0 bis 3.16.9, 4.0.0 bis 4.2.5, 4.3.0 bis 4.3.4, 4.4.0 bis 3.3.2 sowie die Version 4.5.0.
Temporäre Absicherung des Systems
Wie schon bei vorherigen Sicherheitslücken, ist es glücklicherweise möglich, bis zum eigentlichen Update der Anwendung temporäre Absicherungsmaßnahmen für die Lücken zu implementieren.
Hierfür schlägt Atlassian vor, Anfragen an das Jira Service Desk auf bestimmte Ziel-URLs am vorgeschalteten Reverse Proxy oder Load Balancer zu unterbinden, was wir ebenfalls empfehlen.
Die Alternative erfordert einen Neustart der Anwendung und damit eine angekündigte Downtime der Anwendung. Auch für die zweite Lücke kann man bestimmte Anfragen auf Seiten des Reverse Proxy blockieren.
Es müssen beide Absicherungsmaßnahmen implementiert sein, damit die Sicherheitslücken, nach bisherigem Kenntnisstand, nicht ausgenutzt werden können.
Zielversionen für Ihr Update
Die nachfolgende Tabelle gibt Ihnen eine Übersicht über die empfohlenen Quell- und Zielversionen für Ihr Jira Service Desk-Update:
| Eingesetzte Version | Empfohlene Zielversion |
| 4.5.x | 4.5.1 |
| 4.4.x | 4.4.3 |
| 4.3.x | 4.3.5 |
| 4.2.x | 4.2.6 |
| 4.1.x | 4.5.1 |
| 4.0.x | 4.5.1 |
| 3.16.x | 3.16.10 |
| 3.9.x | 3.16.10
3.9.17 |
| Ältere Versionen (vor 3.9.x) | Aktuelle Versionen: 4.4.1 4.3.4Enterprise Releases:4.5.1 (Empfohlen) 3.16.10 3.9.17 |
Fragen? Unterstützung? Unser Betriebsteam hilft!
Kunden, die bei //SEIBERT/MEDIA Betriebspakete besitzen, müssen zum aktuellen Zeitpunkt nichts tun. Von uns betriebene Jira Service Desk-Instanzen sind bereits gegen die Lücke durch die temporären Maßnahmen abgesichert.
Unser Betriebsteam wird sich proaktiv mit Ihnen in Verbindung setzen, um ein baldiges Update von Jira Service Desk abzustimmen und durchzuführen.
Haben Sie Fragen? Oder brauchen Sie Unterstützung durch unsere Experten für den Betrieb von Atlassian-Software und der Aktualisierung? Dann melden Sie sich per E-Mail an vertrieb@seibert-media.net oder telefonisch unter 0611-20570-42 bei uns! Unser Team ist gerade stark eingespannt, aber wir helfen Ihnen gerne, sobald es die Kapazitäten zulassen!
