Atlassian stopft neues Jira-Loch

25. April 2022, 14:28
  • security
  • lücke
  • atlassian
image

Für bestimmte Konfigurationen ist die Sicherheitslücke kritisch: Angreifer könnten sich ohne Log-in-Daten anmelden.

Atlassian warnt vor einer neu entdeckten Sicherheitslücke in einigen Jira-Versionen und hat Patches dafür bereitgestellt. Betroffen sind Jira Core Server, Jira Software Server, Jira Software Data Center, Jira Service Management Server und Jira Service Management Data Center. Nicht bedroht sind laut Atlassian Jira Cloud und Jira Service Management Cloud.
Die Lücke CVE-2022-0540 befindet sich im Web-Authentifizierungs-Framework Seraph, das Anmeldeprozesse abwickelt. Die Sicherheitslücke wirkt sich laut Atlassian auf Konfigurationen aus, bei denen Apps, die sich anmelden wollen, die "roles-required" auf der Namespace-Ebene der "webwork1-Aktion" und nicht auf der Ebene der Aktion angeben. Ist dies der Fall, und wenn keine anderen Authentisierungs- oder Authorisierungschecks durchgeführt werden, können sich Angreifer mit präparierten HTTP-Anfragen via Seraph anmelden. Für solche Konfigurationen stuft Atlassian den Schweregrad der Lücke als kritisch ein, für andere Konfigurationen als mittel.
Gepatcht sind neue Jira-Versionen ab 8.13.18, 8.20.6 und 8.22.0 und Jira Service Management ab 4.13.18, 4.20.6 und 4.22.0.


Loading

Mehr zum Thema

image

Ransomware-Bande startet Bug-Bounty-Programm

Bis zu 1 Million Dollar Prämie winkt jenen, die für die Bande Lockbit Fehler und Schwachstellen in deren neuster Malware finden.

publiziert am 1.7.2022
image

Podcast: IT-Security – kleine Betriebe, grosse Probleme

Homeoffice und Cybersecurity: Zwei spannende Themen, die zusammen aber vor allem kleine Betriebe vor grosse Probleme stellen.

publiziert am 1.7.2022
image

Post lässt sich 24 Stunden lang von 150 Hackern angreifen

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

publiziert am 30.6.2022
image

VBS lanciert Cyber Startup Challenge 2022

Dieses Mal sollen Teilnehmer Lösungen zur automatisierten Netzwerkerkennung und Sicherung von Internet-of-Things-Geräten präsentieren.

publiziert am 30.6.2022