Meelogic Atlassian Blog

Jira Service Desk Security Advisory Systemverwundbarkeit 2019-11-06

✓ CVE-2019-15003 – Die Umgehung der Genehmigung erlaubt die Offenlegung von Informationen

✓ CVE-2019-15004 – URL-Pfaddurchquerung ermöglicht die Offenlegung von Informationen

 

 

 

Die Umgehung der Genehmigung erlaubt die Offenlegung von Informationen – CVE-2019-15003
Schweregrad

Atlassian stuft den Schweregrad dieser Schwachstelle als kritisch ein, entsprechend der Skala, die in den Atlassian-Schweregraden veröffentlicht ist. Die Skala erlaubt es, den Schweregrad als kritisch, hoch, mittel oder niedrig einzustufen.

Dies ist unsere Einschätzung, und Sie sollten die Anwendbarkeit auf Ihre eigene IT-Umgebung bewerten.

 

Beschreibung

Das Design von Jira Service Desk gibt den Benutzern des Kundenportals nur die Berechtigung, Anfragen zu stellen und Probleme anzuzeigen. Dadurch können Benutzer mit dem Kundenportal interagieren, ohne direkten Zugang zu Jira zu haben. Diese Einschränkungen können von jedem Angreifer mit Portalzugang*, der eine Berechtigungsumgehung ausnutzt, umgangen werden. Die Ausnutzung ermöglicht es einem Angreifer, alle Probleme innerhalb aller Jira-Projekte anzuzeigen, die in der anfälligen Instanz enthalten sind. Dazu können Jira Service Desk-Projekte, Jira Core-Projekte und Jira Software-Projekte gehören.

Alle Versionen von Jira Service Desk vor 3.9.17, von 3.10.0 vor 3.16.11, von 4.0.0 vor 4.2.6, von 4.3.0 vor 4.3.5, von 4.4.0 vor 4.4.3 und von 4.5.0 vor 4.5.1 sind betroffen. Dieses Problem kann hier nachverfolgt werden: https://jira.atlassian.com/browse/JSDSERVER-6590

 * Beachten Sie, dass Angreifer sich selbst Zugang zu den Jira Service Desk-Portalen gewähren können, bei denen in der Portaleinstellung “Jeder kann eine E-Mail an den Service Desk senden oder eine Anfrage stellen” aktiviert ist. Die Änderung dieser Berechtigung beseitigt nicht die Schwachstelle eines Exploit durch einen Angreifer, der Portalzugang hat. Atlassian empfiehlt nicht, die Berechtigung zu ändern.

 

Mitigation

Wenn Sie nicht in der Lage sind, ein sofortiges Upgrade von Jira Service Desk durchzuführen oder die Migration auf Jira Cloud durchzuführen, können Sie dies als vorübergehende Abhilfe tun:

  • Anfragen an Jira blockieren, die jspa, jpsx, jsp auf der Ebene des Reverse-Proxys oder der Lastverteilung enthalten, oder
  • Alternativ können Sie Jira so konfigurieren, dass Anfragen, die jspa, jspx, jsp enthalten, an eine sichere URL umgeleitet werden.
    • Fügen Sie das Folgende zum Abschnitt <urlrewrite> in [jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml hinzu:
<rule>
    <from>/servicedesk/.*\.jsp.*</from>
    <to type="temporary-redirect">/</to>
</rule>
    • Nach dem Speichern der obigen Änderungen starten Sie Jira neu

Nach einem Update von Jira Service Desk kann diese Maßnahme aufgehoben werden.

 

URL-Pfaddurchquerung ermöglicht die Offenlegung von Informationen – CVE-2019-15004

Schweregrad

Atlassian stuft den Schweregrad dieser Schwachstelle als kritisch ein, entsprechend der Skala, die in den Atlassian-Schweregraden veröffentlicht ist. Die Skala erlaubt es, den Schweregrad als kritisch, hoch, mittel oder niedrig einzustufen.

Dies ist unsere Einschätzung, und Sie sollten die Anwendbarkeit auf Ihre eigene IT-Umgebung bewerten.

 

Beschreibung

Das Design von Jira Service Desk gibt den Benutzern des Kundenportals nur die Berechtigung, Anfragen zu stellen und Probleme anzuzeigen. Dadurch können Benutzer mit dem Kundenportal interagieren, ohne direkten Zugang zu Jira zu haben. Diese Einschränkungen können von jedem Angreifer mit Portalzugriff* umgangen werden, der eine Schwachstelle im Pfad ausnutzt. Die Ausnutzung ermöglicht es einem Angreifer, alle Probleme innerhalb aller Jira-Projekte, die in der anfälligen Instanz enthalten sind, anzuzeigen. Dazu können Jira-Servicedesk-Projekte, Jira-Core-Projekte und Jira-Software-Projekte gehören.

Alle Versionen von Jira Service Desk vor 3.9.17, von 3.10.0 vor 3.16.11, von 4.0.0 vor 4.2.6, von 4.3.0 vor 4.3.5, von 4.4.0 vor 4.4.3 und von 4.5.0 vor 4.5.1 sind betroffen.

* Beachten Sie, dass Angreifer sich selbst Zugang zu den Jira Service Desk-Portalen gewähren können, bei denen in der Portaleinstellung “Jeder kann eine E-Mail an den Service Desk senden oder eine Anfrage stellen”. Die Änderung dieser Berechtigung beseitigt nicht die Schwachstelle eines Exploit durch einen Angreifer, der Portalzugang hat. Atlassian empfiehlt nicht, die Berechtigung zu ändern. Bitte lesen Sie stattdessen weiter und befolgen Sie die im Abschnitt beschriebenen Anweisungen:

 

Mitigation

Wenn Sie nicht in der Lage sind, ein sofortiges Upgrade von Jira Service Desk durchzuführen oder die Migration auf Jira Cloud durchführen, können Sie dies als vorübergehende Abhilfe tun:

  • Anfragen an Jira blockieren, die … auf der Ebene des Reverse Proxy oder der Lastverteilung enthalten, oder
  • Alternativ können Sie Jira so konfigurieren, dass Anfragen, die … enthalten, auf eine sichere URL umgeleitet werden
    • Fügen Sie Folgendes zum Abschnitt <urlrewrite> von [jira-installation-directory]/atlassian-jira/WEB-INF/urlrewrite.xml hinzu:
          <rule>
              <from>^/.*\.\..*$</from>
              <to type="temporary-redirect">/</to>
          </rule>
    • Nach dem Speichern der Änderungen oben, starten Sie Jira neu

Nach einem Update von Jira Service Desk kann diese Maßnahme aufgehoben werden.

 

Was Sie tun müssen

Upgrade von Jira Service Desk

Atlassian empfiehlt Ihnen, auf die neueste Version zu aktualisieren. Eine vollständige Beschreibung der neuesten Version von Jira Service Desk Server & Jira Service Desk Data Center finden Sie in den Release Notes. Sie können die neueste Version von Jira Service Desk Server & Jira Service Desk Data Center im Download Center herunterladen.

Führen Sie ein Upgrade von Jira Service Desk auf eine Version wie unten angegeben durch.

Ein Upgrade von Jira Service Desk erfordert auch ein Upgrade von Jira Core. Prüfen Sie die Kompatibilitätsmatrix, um die entsprechende Version für Ihre Jira Service Desk Version zu finden.

Wenn Sie eine Jira Service Desk Version haben…..dann auf diese Bugfix-Version aktualisieren:
4.5.x4.5.1
4.4.x4.4.3
4.3.x4.3.5
4.2.x4.2.6
4.1.x4.5.1 (Empfohlen)
4.0.x4.5.1 (Empfohlen)
3.16.x3.16.11
3.9.x

3.16.11

3.9.17

Ältere Versionen (vor 3.9.x)Aktuelle Versionen:

 

4.4.1

4.3.4

Enterprise-Versionen:

4.5.1 (Empfohlen)

3.16.11

3.9.17