Atlassian patcht kritische Jira-Lücke

6. Februar 2023 um 10:26
  • security
  • atlassian
  • lücke
  • business-software
image

Die Schwachstelle mit einem Score von 9.4 ermöglicht es Angreifern, sich als andere Benutzer auszugeben und Zugriff auf eine Jira-Service-Management-Instanz zu erhalten.

Atlassian hat einen Fix veröffentlicht, um eine kritische Lücke in Jira Service Management Server und Data Center zu beheben. Die Schwachstelle könnte von einem Angreifer missbraucht werden, um sich als ein anderer User auszugeben und so unbefugten Zugriff auf anfällige Instanzen zu erhalten.
Die Schwachstelle (CVE-2023-22501) mit einem CVSS-Score von 9.4 von 10 wurde in Jira Service Management Server und Data Center 5.3.0 eingeführt, die Versionen 5.3.0 bis 5.3.1 und 5.4.0 bis 5.5.0 sind betroffen. Cloud-Instanzen sind gemäss Atlassian nicht anfällig.
Wenn Schreibzugriff auf ein User Directory und ausgehende E-Mails auf einer Jira-Service-Management-Instanz aktiviert sind, könnte ein Angreifer Zugriff auf ein Sign-up-Token eines Nutzers erhalten, der zwar im System angelegt, aber noch nicht aktiviert wurde. Mit dem Token könne der Angreifer das Konto aktivieren und so Zugriff auf die Jira-Instanz erhalten. Diese Sign-up-Token würden unter Umständen als Teil von Service-Tickets per E-Mail verschickt. Bot-Konten seien deshalb besonders anfällig. "Auf Instanzen mit Single-Sign-On können externe Kundenkonten in Projekten betroffen sein, bei denen jeder sein eigenes Konto erstellen kann", warnt Atlassian.

Loading

Mehr zum Thema

image

USA verbieten sich teilweise den Einsatz von Spyware

Präsident Joe Biden hat seiner Regierung den Einsatz von "kommerzieller Spyware" verboten. Mit diesem Wortlaut lassen sich die USA eine Hintertür offen.

publiziert am 28.3.2023
image

NTT ernennt neue Geschäftsleiter für die Schweiz

Christoph Kurzke, Philipp Blum und Matthias Schweizer stossen zum Management von NTT Data Business Solutions Schweiz.

publiziert am 28.3.2023
image

Über 33'000 digitale Straftaten in der Schweiz

Ein Grossteil sind Fälle von Wirtschaftskriminalität im Cyberraum. Die Phishing-Attacken haben sich erneut fast verdoppelt.

publiziert am 27.3.2023
image

Nach Cyberangriff erschienen Schweizer Zeitungen bloss reduziert

'NZZ' und 'Schweiz am Wochenende' mussten ihre gedruckten Ausgaben verkleinern. Nach wie vor stehen einige Systeme und Services nicht zur Verfügung.

publiziert am 27.3.2023