Atlassian Jira: Kritische Lücke in Data Center & Service Management geschlossen
Jetzt updaten: Fehlende Authentifizierungs-Mechanismen hätten Angreifern Fernzugriffe erleichtert – nun hat Atlassian abgesicherte Versionen bereitgestellt.
(Bild: Alfa Photo/Shutterstock.com)
Neue Versionen von Jira Data Center sowie von der Service Management-Fassung für Data Center ("Jira Service Management Data Center") beseitigen eine Sicherheitslücke, die Atlassian als kritisch einstuft. Entfernte Angreifer hätten sie unter bestimmten Voraussetzungen missbrauchen können, um beliebigen Code ihrer Wahl im Kontext der Jira-Software auszuführen. Data Center-Admins sollten die Versionsangaben in den verfügbaren Sicherheitshinweisen studieren und gegebenenfalls ein Update anstoßen.
Ausdrücklich nicht von der Lücke mit der ID CVE-2020-36239 betroffen sind Jira Cloud-Produkte (Atlassian Cloud, Jira Cloud und Jira Service Management Cloud) sowie Jira Server- und Service Management-Ausgaben, die nicht Data Center-spezifisch sind ("Non-Data Center instances").
Weitere Informationen und Updates
CVE-2020-36239 fußt auf Ehcache, einer freien Software zur Umsetzung von Caches in Java-Anwendungen. In verwundbaren Jira-Produktversionen hätten Angreifer laut Atlassians Advisory via Port 40001 und möglicherweise auch 40011 ohne vorherige Authentifizierung auf einen Ehcache RMI Netzwerk-Service zugreifen können. Dies wäre allerdings nur bei Port-Konfigurationen möglich gewesen, die solche Zugriffe zulassen und nicht wie von Atlassian empfohlen auf Data Center-Instanzen beschränkt sind.
Detaillierte Angaben zu CVE-2020-36239 sowie eine Übersicht über alle verwundbaren und gefixten Software-Versionen sind Atlassians Advisory zu entnehmen:
(ovw)
