Atlassian warnt vor kritischen Jira-Lücken

Atlassian hat Security Advisories publiziert: Die Schwachstelle in Jira Server und Jira Data Center (CVE-2019-15001) wurde vom Unternehmen als "kritisch" eingestuft. Eine Code-Ausführung aus der Ferne sei möglich.Die Lücke wurde mit der Version 7.0.10 eingeführt und ist für spätere Versionen wieder behoben worden. Kunden, die auf die Versionen 7.13.8, 8.1.3, 8.2.5, 8.3.4 oder 8.4.1 upgegradet haben, seien nicht betroffen. Die Cloud-Instanzen seien bereits upgegradet worden und somit ebenfalls nicht betroffen. Atlassian mahnt, Updates möglichst rasch einzuspielen und publiziert für Anwender, die dies nicht unmittelbar können, einen Workaround. Zudem gibt es eine Schwachstelle in JiraService Desk Server and Jira Service Desk Data Center. Die Lücke (CVE-2019-14994) könne ausgenutzt werden, um Informationen offenzulegen. Jira Service Desk ermöglicht es Kunden, Probleme anzuzeigen und Anfragen zu stellen, während der Zugriff auf Jira-Instanzen eingeschränkt werde. Diese Einschränkung könne aber von jedem, der Zugang auf das Portal hat – ob Mitarbeiter oder Kunde –, umgangen werden.Atlassian Cloud und die Versionen Jira Service Desk Server und Service Desk Data Center 3.9.16, 3.16.8, 4.1.3, 4.2.5, 4.3.4, und 4.4.1 sind nicht betroffen. Auch für diese Schwachstelle rät Atlassian zum Upgrade und gibt Informationen zu einem temporären Workaround. (kjo)