Die Fehlerverwaltungs- und Projektmanagementsoftware Data Center, Desk Data Center, Desk Server und Server von Jira sind verwundbar. Angreifer könnten Systeme aus der Ferne attackieren und wenn eine Attacke erfolgreich ist Schadcode ausführen. Beide Sicherheitslücken sind mit dem Bedrohungsgrad "kritisch" eingestuft. Abgesicherte Versionen stehen zum Download bereit.

Die Schwachstelle ( CVE-2019-15001) in Jira Data Center und Server findet sich im Importers Plugin. Hat ein Angreifer "JIRA Administrators"-Zugriff, soll er in der Lage sein, Schadcode ausführen zu können. Die Versionen 7.13.8, 7.6.16, 8.1.3, 8.2.5, 8.3.4, 8.4.1 sind abgesichert. Alle vorigen Ausgaben sind den Entwicklern zufolge bedroht. In einer Warnmeldung listet Jira weitere Details zu der Sicherheitslücke auf. In der Meldung zeigt Jira auch eine Methode auf, wie Admins Computer absichern können, wenn eine Update-Installation zur Zeit nicht möglich ist.

Alle Tickets einsehbar

Die Lücke (CVE-2019-14994) macht Desk Data Center und Service Desk Server angreifbar. Nutzen Angreifer die Schwachstelle erfolgreich aus, könnten sie auf eigentlich abgeschottete Informationen zugreifen (Path-Traversal-Attacke). Dafür müssten sie lediglich eine präparierte Anfrage an das Customer-Portal senden, um Einschränkungen zu umgehen. Dann könnten sie alle Daten, Listen Tickets von Jira-Projekten einsehen.

In einer Sicherheitswarnung zeigt Jira die betroffenen Versionen und die abgesicherten Ausgaben auf. Dort finden Admins, die derzeit keine Updates installieren können, auch einen Workaround, um die Software gegen derartige Attacken abzusichern. (des)