Jetzt updaten: Atlassian fixt kritische Lücke in Jira Server und Data Center
Mehrere Varianten der Webanwendung Jira weisen eine kritische Sicherheitslücke auf, die mitunter auch aus der Ferne ausnutzbar ist. Updates sind verfügbar.
(Bild: TheDigitalArtist)
Atlassian hat in einem Sicherheitshinweis auf eine kritische Sicherheitslücke hingewiesen. Sie steckt in den Server- und Data-Center-Varianten von Jira Software, Jira Core und Jira Service Desk. Jira Cloud soll nicht betroffen sein. Atlassian hat abgesicherte Versionen bereitgestellt und rät zum zügigen Update.
Die Lücke mit der Kennung CVE-2019-11581 kann aus der Ferne missbraucht werden, um mittels Template Injection beliebigen Code auf Servern auszuführen, auf denen eine verwundbare Version der Webanwendung Jira installiert ist. Ob dies ohne Authentifizierung möglich ist, hängt laut Atlassian von der Konfiguration des SMTP-Servers ab.
Verwundbar sind alle Server- und Data-Center-Versionen (Core und Software) von 4.4.0 bis exklusive 7.6.14, von 7.7.0 bis exklusive 7.13.5, von 8.0.0 bis exklusive 8.0.3, von 8.1.0 bis exklusive 8.1.2 sowie von 8.2.0 bis exklusive 8.2.3.
Details zur Sicherheitslücke und Links zu den abgesicherten Versionen sind einem von Atlassian veröffentlichten Security Advisory zu entnehmen. Der Hersteller nennt dort auch zwei Workarounds für Fälle, in denen ein umgehendes Update nicht möglich ist. (ovw)
