In bestimmten Konfigurationen ist das Anmeldesystem von Atlassian Jira kaputt und Angreifer könnten sich ohne Log-in-Daten anmelden. Sicherheitspatches sind verfügbar.
Voraussetzungen für Attacken
Betroffen sind einer Warnmeldung zufolge Jira Core Server, Jira Software Server, Jira Software Data Center, Jira Service Management Server und Jira Service Management Data Center. Jira Cloud und Jira Service Management Cloud sind davon nicht bedroht, versichert Atlassian. Die „kritische“ Lücke (CVE-2022-0540) findet sich im Web-Authentifizierungs-Framework Seraph, das Anmeldeprozesse abwickelt.
Der Fehler tritt den Entwicklern zufolge aber nur auf, wenn Apps, die sich anmelden wollen, die „roles-required“ auf der Namespace-Ebene der webwork1-Aktion und nicht auf der Ebene der Aktion angeben. Es dürfen auch keine anderen Authentifizierungs- oder Autorisierungsprüfungen stattfinden. Ist das gegeben, könnten Angreifer mit präparierten HTTP-Anfragen an Seraph ansetzen und sich an Systemen anmelden. Kommen solche Apps nicht zum Einsatz, gilt der Bedrohungsgrad „mittel“. Weitere Informationen zur Problematik führt Atlassian in einer FAQ aus.
Jetzt patchen!
Die Entwickler geben an, die Jira-Versionen ab 8.13.18, 8.20.6 und 8.22.0 und Jira Service Management ab 4.13.18, 4.20.6 und 4.22.0 gegen solche Attacken abgesichert zu haben.
(des)
