Der Hersteller Atlassian warnt vor einer Sicherheitslücke in der Projektverwaltungssoftware Jira. Sie findet sich in dem Mobile Plug-in für Jira und ermöglicht eine sogenannte Full Read Server Side Request Forgery. Angreifer könnten dadurch unter anderem Zugangsdaten ausspähen.

Atlassian erklärt, dass die Lücke sich von Angreifern missbrauchen lasse, die sich an dem System anmelden können – auch jenen, die per Sign-up-Funktion Zugang erhalten haben. Der zugrundeliegende Fehler befindet sich im HTTP-Endpunkt, den das Mobile Plug-in für Jira verwendet. Angreifer könnten die HTTP-Methode und den Ort der gewünschten URL mit zugehörigen Methoden-Parametern beeinflussen (CVE-2022-26135, Risiko "hoch").

Auswirkungen: Kommt darauf an ...

Solche Server Side Request Forgeries (SSRF) erlauben Angreifern also, durch eine Art Umleitung auf eigentlich geschützte und nicht zugreifbare Systeme in einem Netzwerk zuzugreifen, die direkt nicht zu erreichen sind. Je nachdem, in welcher Umgebung die verwundbare Jira-Instanz aufgesetzt wurde, variieren daher auch die potenziellen Auswirkungen des Bugs.

Atlassian erläutert in einer Sicherheitsmeldung, dass etwa bei einer Installation in einer AWS-Umgebung sensible Zugangsdaten zugreifbar sein könnten. Mit denen ließe sich dann weiterer Schaden anrichten. Der Hersteller erklärt, dass das seine Evaluierung sei und betroffene Administratorinnen und Administratoren die Anwendung in ihrer eigenen IT-Umgebung diesbezüglich bewerten sollen.

Von der Schwachstelle sind Jira Server und Data Center vor 8.13.22, von 8.14.0 bis 8.20.9 und von 8.21.0 bis 8.22.3 betroffen. Zudem sind der Jira Service Management Server und Data Center vor 4.13.22, von 4.14.0 bis 4.20.9 und von 4.21.0 bis 4.22.3 anfällig. Atlassian dichtet die Lücken mit den Versionen 8.13.22, 8.20.10, 8.22.4 sowie 9.0.0 des Jira Server oder Data Center sowie 4.13.22, 4.20.10, 4.22.4 oder 5.0.0 des Jira Service Management Server oder Data Center ab. Atlassian weist darauf hin, dass Jira Cloud und Jira Service Management Cloud von dem Fehler nicht betroffen sind.

Sollte es nicht möglich sein, die Software zügig zu aktualisieren, können Administratoren vorerst das Mobile Plug-in für Jira deaktivieren oder einzeln aktualisieren. Hinweise dazu liefert eine FAQ zu der Sicherheitslücke in Jira, die Atlassian veröffentlicht hat.

(dmk)