Jira Security Advisory 2022-04-20

Categories: AtlassianTechnology

Zusammenfassung der Sicherheitslücke

Jira und Jira Service Management sind anfällig für einen Authentifizierungs-Bypass im Web-Authentifizierungs-Framework Jira Seraph.

Obwohl die Schwachstelle im Kern von Jira liegt, sind Anwendungen von Erst- und Drittanbietern betroffen, die „roles-required“ auf der Ebene des Aktionsnamensraums webwork1 und nicht auf Aktionsebene angeben. Damit eine bestimmte Aktion betroffen ist, muss die Aktion auch keine anderen Authentifizierungs- oder Autorisierungsprüfungen durchführen.

Ein entfernter, nicht authentifizierter Angreifer könnte dies ausnutzen, indem er eine speziell gestaltete HTTP-Anfrage sendet, um die Authentifizierungs- und Autorisierungsanforderungen in WebWork-Aktionen mit einer betroffenen Konfiguration zu umgehen.

Schweregrad

Für Installationen, die Anwendungen mit einer betroffenen Konfiguration verwenden, stuft Atlassian den Schweregrad dieser Sicherheitsanfälligkeit als kritisch ein, obwohl dies variieren kann, wenn eine betroffene Anwendung zusätzliche Berechtigungsprüfungen verwendet. Detailliertere Informationen zu den Auswirkungen auf die einzelnen Apps, die im Abschnitt Bestimmen, welche Apps betroffen sind aufgeführt sind, erhalten Sie vom jeweiligen App-Anbieter.

Für Installationen, die keine Anwendungen verwenden, die eine betroffene Konfiguration aufweisen, wie im Abschnitt „Zusammenfassung der Schwachstelle“ oben beschrieben, stuft Atlassian den Schweregrad dieser Schwachstelle als mittel ein.

Dies ist unsere Einschätzung, und Sie sollten deren Anwendbarkeit auf Ihre eigene IT-Umgebung prüfen.

Betroffene Jira-Versionen

(info) Dazu gehören die folgenden Produkte:

  • Jira Core Server
  • Jira Software Server
  • Jira Software Data Center
  • Alle Versionen vor 8.13.18
  • 8.14.x
  • 8.15.x
  • 8.16.x
  • 8.17.x
  • 8.18.x
  • 8.19.x
  • 8.20.x vor 8.20.6
  • 8.21.x

Festgelegte Jira-Versionen

  • 8.13.x >= 8.13.18
  • 8.20.x >= 8.20.6
  • Alle Versionen >= 8.22.0

Sie können die neuesten Versionen von den Download-Seiten für Jira Core oder Jira Software herunterladen.

Bitte beachten Sie, dass dies die ersten Versionen sind, die den Fix für CVE-2022-0540 enthalten. Aktuellere Bugfix-Versionen sind für die drei oben aufgeführten Versionen verfügbar. Atlassian empfiehlt ein Upgrade auf die aktuellste Bugfix-Version.

Betroffene Versionen von Jira Service Management

(info) Dies betrifft die folgenden Produkte:

  • Jira Service Management Server
  • Jira Service Management Data Center
  • Alle Versionen vor 4.13.18
  • 4.14.x
  • 4.15.x
  • 4.16.x
  • 4.17.x
  • 4.18.x
  • 4.19.x
  • 4.20.x vor 4.20.6
  • 4.21.x

Festgelegte Versionen von Jira Service Management

  • 4.13.x >= 4.13.18
  • 4.20.x >= 4.20.6
  • Alle Versionen >= 4.22.0

Sie können die neuesten Versionen von der Download-Seite für Jira Service Management herunterladen.

Bitte beachten Sie, dass dies die ersten Versionen sind, die den Fix für CVE-2022-0540 enthalten. Aktuellere Bugfix-Versionen sind für die drei oben aufgeführten Versionen verfügbar. Atlassian empfiehlt ein Upgrade auf die aktuellste Bugfix-Version.

Feststellen, welche Anwendungen betroffen sind

Eine Anwendung ist nur dann von CVE-2022-0540 betroffen, wenn beide der folgenden Bedingungen erfüllt sind:

  • Sie ist in einer der oben aufgeführten betroffenen Versionen von Jira oder Jira Service Management installiert
  • Sie verwendet eine Konfiguration, die für CVE-2022-0540 anfällig ist.

Obwohl die Konfiguration der Anwendung ein Faktor ist, der bestimmt, ob sie anfällig ist oder nicht, ist sie nicht die Ursache für die Sicherheitslücke. Diese Anwendungen verwenden korrekt dokumentierte Funktionen, die zuvor von Jira und Jira Service Management auf eine anfällige Weise implementiert wurden. Wenn Sie bereits eine korrigierte Version von Jira oder Jira Service Management installiert haben, sind Sie gegen diese Sicherheitslücke geschützt, unabhängig davon, welche Anwendungen Sie installiert haben.

Atlassian hat ermittelt, welche Atlassian Marketplace-Apps eine für CVE-2022-0540 anfällige Konfiguration verwenden (siehe den Abschnitt Liste der betroffenen Atlassian Marketplace-Apps unten). Wenn Sie eine App verwenden, die nicht im Atlassian Marketplace aufgeführt ist, wenden Sie sich bitte an den Entwickler, um festzustellen, ob sie eine betroffene Konfiguration verwendet.

Die Liste der betroffenen Apps umfasst zwei Atlassian-Apps:

  • Insight – Asset Management
    • Versionen 8.x und früher sind über den Atlassian Marketplace erhältlich.
    • Die Versionen 9.x sind mit Jira Service Management Server und Data Center 4.15.0 und höher gebündelt
  • Mobiles Plugin für Jira
    • Gebündelt mit Jira Server, Jira Software Server und Data Center 8.0.0 und höher
    • Gebündelt mit Jira Service Management Server und Data Center 4.0.0 und höher

Abhilfemaßnahmen

Die Installation einer korrigierten Version von Jira oder Jira Service Management ist der sicherste Weg, um CVE-2022-0540 zu beheben. Sobald eine korrigierte Version installiert wurde, sind alle Anwendungen in Ihrer Instanz vor CVE-2022-0540 geschützt und es sind keine weiteren Maßnahmen erforderlich.

Wenn Sie keine korrigierte Version von Jira oder Jira Service Management installieren können und eine der betroffenen Anwendungen verwenden, sehen Sie in der Tabelle im Abschnitt Bestimmen, welche Anwendungen betroffen sind nach, ob nicht betroffene Versionen dieser Anwendungen verfügbar sind. Wenn dies der Fall ist, aktualisieren Sie alle betroffenen Anwendungen auf eine nicht-betroffene Version.

Wenn Sie eine der im Abschnitt „Ermitteln, welche Anwendungen betroffen sind“ aufgeführten Anwendungen verwenden und alle Versionen der Anwendung betroffen sind, können Sie als letzten Ausweg das Sicherheitsrisiko verringern, indem Sie die Anwendung deaktivieren, bis Sie eine korrigierte Version von Jira oder Jira Service Management installieren können.

Um mehr über die neue Releases zu erfahren kontaktieren Sie uns.

Author

Author

Paoula Chotzoli

Online Marketing

View all Articles

Top Authors

Luca Jungemann

Luca Jungemann

Online Marketing Manager

Kateryna Vasylieva

Kateryna Vasylieva

Specialist, People Development

Olga Cherevata

Olga Cherevata

Lead Recruitment Specialist

Victoria Polishchuk

Victoria Polishchuk

Specialist, People Development

Olena Lisovska

Olena Lisovska

Recruitment specialist, Consultant

Blog Categories