Jetzt updaten: Atlassian fixt kritische LĂĽcke in Jira Server und Data Center

Mehrere Varianten der Webanwendung Jira weisen eine kritische SicherheitslĂĽcke auf, die mitunter auch aus der Ferne ausnutzbar ist. Updates sind verfĂĽgbar.

In Pocket speichern vorlesen Druckansicht 20 Kommentare lesen
Jetzt patchen: Atlassian fixt kritische LĂĽcke in Jira Server und Data Center

(Bild: TheDigitalArtist)

Lesezeit: 1 Min.

Atlassian hat in einem Sicherheitshinweis auf eine kritische Sicherheitslücke hingewiesen. Sie steckt in den Server- und Data-Center-Varianten von Jira Software, Jira Core und Jira Service Desk. Jira Cloud soll nicht betroffen sein. Atlassian hat abgesicherte Versionen bereitgestellt und rät zum zügigen Update.

Die Lücke mit der Kennung CVE-2019-11581 kann aus der Ferne missbraucht werden, um mittels Template Injection beliebigen Code auf Servern auszuführen, auf denen eine verwundbare Version der Webanwendung Jira installiert ist. Ob dies ohne Authentifizierung möglich ist, hängt laut Atlassian von der Konfiguration des SMTP-Servers ab.

Verwundbar sind alle Server- und Data-Center-Versionen (Core und Software) von 4.4.0 bis exklusive 7.6.14, von 7.7.0 bis exklusive 7.13.5, von 8.0.0 bis exklusive 8.0.3, von 8.1.0 bis exklusive 8.1.2 sowie von 8.2.0 bis exklusive 8.2.3.

Details zur Sicherheitslücke und Links zu den abgesicherten Versionen sind einem von Atlassian veröffentlichten Security Advisory zu entnehmen. Der Hersteller nennt dort auch zwei Workarounds für Fälle, in denen ein umgehendes Update nicht möglich ist. (ovw)