Einer Warnmeldung zufolge sind Jira Core Server, Jira Software Server, Jira Software Date Center, Jira Service Management Server und Jira Service Management Data Center betroffen. Atlassian selbst versichert, dass Jira Cloud und Jira Service Management Cloud nicht bedroht sind. Im Web-Authentifizierungs-Framework Seraph, das Anmeldeprozesse abwickelt, befinde sich die kritischer Lücke (CVE-2022-0540).
Den Entwicklern zufolge trete der Fehler aber nur auf, wenn Apps, die sich anmelden wollen, die „roles-required“ auf der Namespace-Ebene der webwork1-Aktion und eben nicht auf der Ebene der Aktion angeben. Auch keine anderen Authentifizierungs- oder Autorisierungsprüfungen dürfen stattfinden. Wenn das gegeben ist, könnten Angreifer mit präparierten HTTP-Anfragen an Seraph ansetzen und sich im System anmelden. Kommen solche Apps aber nicht zum Einsatz, gilt nur der Bedrohungsgrad „mittel“. Atlassian führt in einer FAQ weitere Informationen ausführlich aus.
Die Entwickler geben an, dass die Jira Service Management ab 4.13.18, 4.20.6 und 4.22.0 sowie die Jira-Versionen ab 8.13.18, 8.20.6 und 8.22.0 gegen diese Attacken abgesichert wurden.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Business Security finden Sie hier.
