Atlassian stopft neues Jira-Loch

25. April 2022, 14:28
  • security
  • lücke
  • atlassian
image

Für bestimmte Konfigurationen ist die Sicherheitslücke kritisch: Angreifer könnten sich ohne Log-in-Daten anmelden.

Atlassian warnt vor einer neu entdeckten Sicherheitslücke in einigen Jira-Versionen und hat Patches dafür bereitgestellt. Betroffen sind Jira Core Server, Jira Software Server, Jira Software Data Center, Jira Service Management Server und Jira Service Management Data Center. Nicht bedroht sind laut Atlassian Jira Cloud und Jira Service Management Cloud.
Die Lücke CVE-2022-0540 befindet sich im Web-Authentifizierungs-Framework Seraph, das Anmeldeprozesse abwickelt. Die Sicherheitslücke wirkt sich laut Atlassian auf Konfigurationen aus, bei denen Apps, die sich anmelden wollen, die "roles-required" auf der Namespace-Ebene der "webwork1-Aktion" und nicht auf der Ebene der Aktion angeben. Ist dies der Fall, und wenn keine anderen Authentisierungs- oder Authorisierungschecks durchgeführt werden, können sich Angreifer mit präparierten HTTP-Anfragen via Seraph anmelden. Für solche Konfigurationen stuft Atlassian den Schweregrad der Lücke als kritisch ein, für andere Konfigurationen als mittel.
Gepatcht sind neue Jira-Versionen ab 8.13.18, 8.20.6 und 8.22.0 und Jira Service Management ab 4.13.18, 4.20.6 und 4.22.0.


Loading

Mehr zum Thema

image

San Francisco: Vorerst doch keine Roboter zum Töten

In einer zweiten Abstimmung hat sich das kommunale Gremium doch noch gegen die Richtlinie entschieden.

publiziert am 7.12.2022
image

Deutschland testet Warnsystem Cell Broadcast

Die Schweiz spricht seit einem Jahr davon – passiert ist allerdings noch nichts. Andere EU-Staaten haben das System schon produktiv im Einsatz.

publiziert am 7.12.2022
image

Studie: Cyber-Erpressung dominiert die Bedrohungslandschaft

Laut dem "Security Navigator 2023" sind KMU und die Fertigungsindustrie am häufigsten betroffen.

publiziert am 6.12.2022
image

Spital muss nach Cyber­angriff Patienten verlegen

Ein Cyberangriff stellt den Betrieb in einem französischen Kranken­haus auf den Kopf. Operationen mussten abgesagt werden und es wurde zusätzliches Personal benötigt.

publiziert am 6.12.2022