Heute hat Atlassian mehrere Hinweise zu kritischen Sicherheitslücken für die Produkte Confluence, JIRA, Stash, Crucible, Fisheye und Bamboo veröffentlicht. Crowd ist nicht betroffen.
Atlassian stuft die Sicherheitslücken als “Critical” ein, was dem höchstmöglichen Schweregrad in der von Atlassian definierten Abstufung entspricht.
Problembeschreibung
Alle genannten Produkte sind von einer Sicherheitslücke betroffen, welche es (anonymen) Angreifern erlaubt Aktionen im Namen anderer Nutzer auszuführen. Das Problem betrifft sowohl Systeme die aus dem Internet und Intranet verfügbar sind.
Die Sicherheitshinweise
Eine genaue Beschreibung der Lücken für die einzelnen Produkte ist unter folgenden Links zu finden:
- Sicherheitshinweis für Confluence
- Sicherheitshinweis für JIRA
- Sicherheitshinweis für Bamboo
- Sicherheitshinweis für Stash
- Sicherheitshinweis für Crucible
- Sicherheitshinweis für Fisheye
Problemlösung
Atlassian empfiehlt die Aktualisierung der Software auf die folgenden Versionen oder neuer. Sollte eine Aktualisierung nicht möglich sein, dann ist es möglich für einige der Produkte Patches für ältere Versionen einzuspielen:
- Confluence: 5.4.3 (Patches für ältere Versionen sind verfügbar)
- JIRA: 6.1.4 (Patches für ältere Versionen sind verfügbar, ein Update auf 6.1.6 kann u.U. Probleme mit 1000 und mehr Projekten verursachen)
- Fisheye und Crucible: 2.10.8, 3.1.6, 3.2.0 (Es sind keine Patches für ältere Versionen verfügbar)
- Bamboo: 5.2.2 (Patches für ältere Versionen sind verfügbar)
- Stash: 2.5.4, 2.6.5, 2.7.6, 2.8.4 (Es sind keine Patches für ältere Versionen verfügbar)
Weitere Lücken in Jira
Für JIRA gibt es zwei zusätzliche Sicherheitshinweise.
Die Probleme 1 und 2 betreffen lediglich Anwender, welche JIRA unter Windows betreiben und wurden bereits in JIRA 6.0.5 behoben. Diese erlauben es Angreifern beliebige Dateien innerhalb des JIRA-Installationsordners anzulegen.
Problemlösung
A. Upgrade auf aktuelles JIRA
Alle Probleme lassen sich durch ein Upgrade auf die aktuellste Version von JIRA beheben.
B. Aktualisierung der betroffenen Plugins (nur Problem 1 und 2)
Die ersten beiden Probleme lassen sich außerdem durch die Aktualisierung der Plugins “JIRA Issue Collector” und “JIRA Importer” beheben.